A Lei Geral de Proteção de Dados entrou em vigor e, como esperado, muitas empresas ainda não estão adaptadas e outras se vêem com uma série de dúvidas quanto a sua adequação à ela
Depois de muitas discussões e expectativas de prorrogação do prazo para sua entrada em vigor, por conta da pandemia, a Lei Geral de Proteção de Dados (LGPD) entrou em vigor no último dia 18 de setembro. Inspirada na General Data Protection Regulation (GDPR), a rígida legislação europeia de proteção de dados pessoais, a Lei 13.709, de 14 de agosto de 2018, estabelece uma série de critérios e padrões relacionados ao uso, o tratamento e a guarda de dados pessoais e sensíveis por empresas, dando total controle e autonomia aos titulares (os cidadãos) sobre a utilização de seus dados.
Considerada por especialistas uma lei moderna e até mais abrangente do que o texto europeu que a teria inspirado, a entrada em vigor da LGPD afeta diretamente todos os setores empresariais e segmentos profissionais. Afinal, vivemos num mundo no qual os dados estão em todos os lugares e a atividade de negócios é cada vez mais, orientada por eles.
Se a rotação da Terra não mudou e nem o calendário romano ao qual estamos submetidos dia após dia, então já se sabia que a lei entraria em vigor dia 18 de setembro. Apesar disso, não é de se estranhar o rebuliço causado pela entrada em vigor da nova lei. Mesmo sendo ela um tema de grandes discussões desde 2018 é de se questionar até que ponto nossas empresas se encontram prontas ou seu nível de adequação às novas regras. De acordo com dados da pesquisa Compliance On Top – iniciativa da LEC e da firma de recrutamento executivo VITTORE Partners, com a participação de mais de 400 líderes da área de Compliance nas empresas, apenas 26,7% dos gestores da área nas empresas diz estar com o programa de Compliance em Proteção de Dados já concluído. A maior parte, 45,9%, diz que o programa estará implementado até o final deste ano. Outros 25,5% de respondentes da pesquisa acreditam que cumprirão com os requerimentos até a entrada em vigor das sanções administrativas, o que acontece em 1 de agosto próximo.
Sócia da área de Proteção de Dados do escritório de advocacia KLA, Tânia Lieberman chama atenção para o fato de que muitas empresas sequer haviam pensado num programa de privacidade de dados antes de 18 de setembro. “Após essa data, temos tido aproximadamente seis reuniões por semana com clientes interessados em iniciar o programa. Considerando que a implementação de um programa de privacidade leva tempo – dificilmente menos do que seis meses –, podemos estimar que bem mais do que metade das empresas brasileiras ainda não iniciaram o processo. Mesmo entre as grandes multinacionais, várias delas estão priorizando a adequação à GDPR e à CCPA (a legislação de privacidade e proteção do consumidor do estado da Califórnia nos EUA). Dentre os nossos clientes, aqueles que trabalham com consumidores (B2C) estão mais adiantados”, afirma.
A mesma movimentação foi apontada por Heliezer Viana, sócio da área digital da firma de consultoria auditoria Mazars. “Usando como base de pesquisa nossos mais de 500 clientes ativos e todas as ações que fizemos com o mercado, podemos dizer que entre 30% a 40% das empresas estão conduzindo um projeto de adequação à LGPD. As empresas que não haviam iniciado o projeto estavam aguardando a definição do prazo. Com a lei em vigor, as empresas passaram a solicitar apoio a consultorias especializadas no assunto. Outras inseriram no budget 2021 a iniciativa da adequação”, pontua Viana.
Apesar do prazo de dois anos de adequação, a LGPD foi uma legislação promulgada em um período de mudança de Governo e que continuou sofrendo alterações. “Estes dois fatores, somados com a crise trazida pela pandemia do Covid-19 acabou tendo um grande impacto no processo de implementação da nova lei. Podemos afirmar que a grande maioria das instituições, seja no âmbito público ou no privado ainda não completou o processo e muitas só iniciaram agora que a lei entrou em vigor”, diz a especialista em direito digital, Patrícia Peck, da PG Advogados.
A advogada acredita que menos de um terço das organizações já estão em conformidade com a LGPD. “Em geral, o perfil é mais de grandes empresas multinacionais que já tinham que atender ao regulamento europeu e, portanto, iniciaram antes”.
As similaridades entre a lei brasileira e a européia e o fato de a segunda já estar em vigor há dois anos são também lembrados como explicação para as grandes empresas estarem à frente no que diz respeito à conformidade. “Como o regulamento europeu já tinha entrado em vigor, as grandes empresas já vinham se adequando há bastante tempo. Mas, no caso das empresas de médio porte, a maioria não tinha ainda se engajado nesse movimento. Salvo algumas, exceções, é claro”, acredita Alessandra Gonsales, Sócia de Compliance no Gonsales Cho Advogados Associados e Sócia Fundadora da LEC. Alessandra compara o momento à entrada em vigor da Lei Anticorrupção brasileira, cuja entrada fez com que muitas empresas passassem a dar conta da importância de um programa de Compliance, algo até então ignorado por boa parte delas.
“Infelizmente, uma parte do empresariado brasileiro ainda preserva uma cultura de não estar em conformidade com a lei e só se preocupar mesmo quando o mercado começa a exigir. Então, mesmo com a lei entrando em vigor, eles preferem aguardar para ver o que vai acontecer. Como a sanção de penalidades administrativas relacionadas a LGPD só passam a valer a partir do ano que vem, ainda há quem não esteja preocupado com a conformidade”, completa.
A lei não vai pegar? Já pegou!
Seguir essa linha de pensamento pode representar um erro de resultados incalculáveis para os negócios de uma organização. Embora as penalidades e multas previstas na LGPD – que chegam a até 2% do faturamento com limite de até R$ 50 milhões e bloqueio ou eliminação dos dados pessoais relacionados à irregularidade –, só estejam previstas para ocorrer em 2021, a legislação já tem sido utilizada como base para processos em andamento. Poucas semanas após sua entrada em vigor, a lei foi usada como base para condenar duas empresas em processos que corriam nos Ministérios Públicos do Distrito Federal e São Paulo. A primeira envolvia a empresa Infortexto Ltda, com sede em Minas Gerais, por comercializar de forma indiscriminada pacotes de dados de pessoais de cidadãos brasileiros segmentados por profissão. Já no caso da Cyrella, a empresa foi condenada a pagar uma indenização de 10 mil reais a um cliente que teve seus dados pessoais enviados a outras empresas.
Segundo Patrícia Peck uma das principais lições que se aprende com esses episódios é que uma lei não está isolada no ordenamento jurídico. “O tema tratado na LGPD não é novo e está conectado com princípios e garantias também trazidos por outras legislações, como é o que acontece com a própria proteção da privacidade na Constituição Federal de 1988 e também os direitos de informação, transparência e segurança abarcados pelo Código de Defesa do Consumidor, ou ainda o tema da proteção de dados do Marco Civil da Internet. Logo, há uma conexão entre todas estas regulamentações e a necessidade de harmonização visando a proteção dos titulares. Isso permite que já tenhamos ações para defesa de direitos e para determinar responsabilização e ressarcimento de danos morais e materiais, independentemente da aplicação das multas da LGPD ter sido prorrogada para iniciar apenas em agosto de 2021. Seus princípios e demais regramentos já estão todos em pleno vigor”, explica Patrícia, lembrando que a própria Ministra Rosa Weber ao interprestar a MP 954 no STF já havia também aplicado os preceitos da LGPD entendendo que sendo uma lei promulgada já poderia ser interpretada dentro do ordenamento jurídico brasileiro por mais que ainda estivesse em período de transição.
Em suma, aquele período no qual muitos dirigentes de negócios e profissionais se fiavam, pagando para ver se uma nova legislação seria realmente aplicada e geraria multas sanções contra as empresa, no caso da LGPD, não vai existir. “A lei já pegou e já está sendo aplicada. Vários titulares já têm exercido os seus direitos e as autoridades (PROCON, MP, etc) já começaram a fiscalizar”, avisa Tânia Lieberman. Os incidentes de privacidade da última semana, só vieram para reforçar a importância de as empresas cumprirem a lei. “Em relação ao caso da Cyrela, entendo que a indenização poderia ter sido concedida pela juíza mesmo que a LGPD não estivesse em vigor, uma vez que o compartilhamento de dados com terceiros sem autorização do titular, já era bastante questionado”, reforça a sócia do KLA.
Outro motivo que pode deixar muitas empresas na espera para começar a implantar um programa de adequação à LGPD é o fato de só recentemente os nomes dos responsáveis por gerir a Autoridade Nacional de Proteção de Dados, a ANPD, terem sido indicados pela Presidência da República e a ANPD não ter regulado alguns temas de sua responsabilidade segundo a LGPD . Ao que Alessandra Gonsales alerta como grande erro. “Uma coisa é a Autoridade Nacional ser acionada e penalizar a empresa. Outra são os órgãos de defesa do consumidor, que já estão trabalhando a todo vapor e possuem competência para tratar dos direitos do consumidor, também previstos na lei. Como no caso da Cyrela, que era anterior à LGPD, mas, devido aos danos causados ao consumidor, dava à juíza todas as razões para acionar a nova lei”.
LGPD e Compliance
A LGPD traz também todo um novo rol de exigência de conformidade e mudança de mindset que coloca a área de Compliance mais uma vez no centro das atenções. Até porque é o Compliance que está liderando o processo em um bom número de empresas. Segundo a mesma pesquisa Compliance On Top, em 44,3% dos casos, os participantes da pesquisa afirmam que o Compliance está liderando o processo. “Tenho uma percepção de que a área de Compliance tem muito a contribuir para a sustentabilidade do programa de proteção de dados dentro das instituições, quer seja assumindo a liderança da implementação da LGPD ou então apoiando no comitê para que seja dado o devido andamento”, opina Patrícia Peck.
Além disso, a área tem sido a maior provedora de DPO’s nas corporações. De acordo com a pesquisa Compliance On Top de 2020, em 51,3% dos casos, o DPO indicado é alguém da área de Compliance. Essa nova função tem, entre outras atribuições, a responsabilidade de ser o principal interlocutor com o órgão regulador (ANPD); titulares de dados e stakeholders internos e externos, além de disseminar a cultura de proteção de dados dentro da instituição e agir rapidamente na resposta à incidentes.
Para Catarina Rattes, advogada da área de Compliance da KLA, diversas rotinas do departamento de Compliance são sensivelmente afetadas com a implementação da LGPD. Segundo ela, esse é um dos motivos que ajuda a explicar o fato de em muitas organizações o Compliance ser o responsável pela coordenação de iniciativas de assessment (que guarda muitas características metodológicas comuns ao risk assessment de Compliance) e adequação. É importante mapear as atividades de Compliance consideradas críticas para a organização e determinar como as informações podem ser coletadas e tratadas, indicando a base legal adequada para o tratamento de dados pessoais em cada processo identificado com o suporte do departamento jurídico, por meio de criteriosa ponderação da base legal e da adoção de todas as possíveis medidas para mitigação de riscos relacionados. “Atividades como due diligence, gestão de canais de denúncias, procedimentos de Know Your Partner, Know Your Client e Know Your Employee, além de investigações internas, já têm sido revisitadas e adaptadas. A revisão ou criação de termos de privacidade e consentimento, códigos de conduta, políticas e procedimentos de Compliance, bem como treinamentos relacionados, inclusive endereçando a nova realidade de intensificação do Home Office também têm estado no radar”, conclui Catarina.
As dúvidas acerca da Autoridade Nacional de Proteção de Dados (ANPD)
Vinculada à Presidência da República, a Autoridade Nacional de Proteção de Dados é o órgão incumbido de zelar pela proteção de dados pessoais, com base nas atribuições constituídas no texto da LGPD. Composto de conselhos, corregedoria, ouvidoria, assessoria jurídica própria e unidades administrativas, a ANPD terá a função de zelar pela fiscalização ao cumprimento da nova legislação, incluindo aí a atribuição de multas e demais penalidades previstas na lei, motivo que coloca os nomes recém-anunciados que irão compô-la sob olhares vigilantes e reticentes daqueles que podem ser afetados por ela.
“Alguns dos nomes são de pessoas com bastante experiência na matéria. Mas precisamos esperar os primeiros atos da ANPD para entender como a autoridade irá funcionar. Esperamos que ela atue de forma independente, educando os agentes de tratamento nesses primeiros momentos pós entrada em vigor da LGPD”, declara Tânia Lieberman, sócia da área de Proteção de Dados do KLA.
Devido à sua importância, torna-se impossível o não questionamento quanto à possibilidade de questões políticas e ideológicas se sobreporem aos requisitos técnicos, alerta Heliezer Nunes, da Mazars. “A politização e direcionamento ideológico não deveriam estar inseridos na ANPD, aliás, é imprescindível que o mais breve possível, a agência tenha sua autonomia. Politizar a ANPD poderá enfraquecer sua atuação e tornar o programa ineficiente”.
“O principal perigo é o de desmoralizar a Autoridade, o que é ruim, pois ela precisa ainda se consolidar junto aos cidadãos, ao mercado nacional e internacional e gerar uma imagem negativa do Brasil que possa prejudicar a possibilidade tanto de recebermos a decisão de adequação da Comissão Européia como também atrapalhar os planos junto à OCDE”, completa Patrícia Peck.
Imagem: Freepik
