Punições devem acelerar aderência à LGPD

Início da aplicação de penalidades pode impulsionar busca por adequação pelas empresas

0

O início da nova fase da Lei Geral de Proteção de Dados (LGPD) deve acelerar a aderência das empresas à legislação e proteger melhor os donos dos dados. Embora a lei esteja em vigor desde o ano passado, a aplicação de sanções decorrentes do seu descumprimento começou apenas no último dia 1º de agosto. 

Com a presença de penalidades das mais diversas, que vão desde advertências e multas até a possibilidade de suspensão do direito das empresas de tratar dos dados pessoais, a aderência tende a ocorrer de forma mais acelerada”, considera Paula Chaves, sócia do Coimbra & Chaves Advogados. 

As grandes empresas correram na frente para se adequar à lei. Chaves afirma que, para as companhias abertas, o custo de adequação é geralmente menos relevante e há maior familiaridade com o tema, dada a sua importância para a governança corporativa.

Rodrigo Pinheiro, sócio do Nankran & Mourão Advogados, lembra que a LGPD, a princípio, não distingue sua aplicabilidade em relação ao porte da sociedade, mas prevê que a Agência Nacional de Proteção de Dados (ANPD) leve esse quesito em consideração, bem como o volume de tratamento de dados das empresas, ao exigir mecanismos de salvaguardas, segurança e produção de relatórios. 

Esse cenário deve inibir os maus tratadores de dados e incentivar a autorregulação por parte dos próprios agentes. Mas a lei sozinha não será o suficiente para trazer a proteção almejada. A mudança de cultura da sociedade e uma atuação fiscalizatória eficiente da ANPD serão imprescindíveis para o sucesso da legislação”, ressalta Pinheiro.

A seguir, Chaves e Pinheiro abordam outros aspectos importantes sobre a aplicação de sanções.


Desde o início de agosto, o descumprimento de regras da LGPD pode gerar punições. De maneira geral, quais seriam as sanções mais comuns?

Paula Chaves: Dentre as penalidades previstas na LGPD, as mais comuns seriam as advertências e multas, que podem alcançar até 50 milhões de reais. É importante destacar que as multas podem ser aplicadas diretamente pela Autoridade Nacional de Proteção de Dados (ANPD). De todo o modo, há um desafio em se estabelecer o parâmetro para quantificar e calcular os valores de multas. Cabe destacar, também, a possibilidade de suspensão do direito da empresa inadimplente de tratar dados pessoais.

Rodrigo Pinheiro: Considerando que a lei possui histórico recente, ainda não podemos mencionar uma sanção mais comum a ser aplicada. De todo modo, utilizando a lei europeia como referência, as mais usadas são as advertências e as multas. Embora não entenda ser comum, a sanção pautada em bloqueio ou suspensão do tratamento de dados poderá causar enorme dificuldade para a continuidade das atividades das empresas. 


Passado pouco menos de um ano da entrada em vigor da lei, o governo estruturou de maneira adequada o sistema regulatório aplicável ao tratamento e privacidade de dados? Como está o funcionamento da Agência Nacional de Proteção de Dados (ANPD)?

Paula Chaves: Ainda é muito cedo para qualquer julgamento ou análise mais assertiva sobre a adequação do sistema regulatório; estamos em um cenário de inúmeras novidades e inovações. Até pouco tempo atrás, antes do início da possibilidade de aplicação das sanções que ocorreu em agosto, a ANPD vinha desenvolvendo o papel de fomentar a cultura da privacidade e proteção de dados pessoais no âmbito empresarial, proporcionando um amadurecimento do tema pelas empresas.

Rodrigo Pinheiro: Ainda não estruturou. Verdade seja dita, a ANPD foi criada com atraso (em 2020), de modo que a LGPD já se encontrava em seu período de vacatio legis, isto é, já havia sido publicada e apenas aguardava a sua entrada em vigor quando a autoridade foi criada. Atualmente, a ANPD possui atuação tímida e somente está emitindo portarias e orientações. A possiblidade de punições começou em agosto.


Na sua avaliação, as empresas brasileiras se adaptaram ao que determina a lei? Essa adequação depende do porte da empresa?

Paula Chaves: Ainda não é possível afirmar que as empresas estão adequadas, mas certamente o movimento no mercado é de busca de adequação à LGPD. Por exemplo, mais da metade das companhias abertas ainda não está totalmente aderente à legislação, sendo que o número é ainda maior ao analisarmos pequenas e médias empresas.

De fato, há uma correlação entre o porte da empresa e o grau de aderência à LGPD. O cumprimento de todas as obrigações legais e formais, como a exigência de nomeação de um encarregado para exercer o tratamento dos dados, afeta o caixa das empresas. Para as companhias abertas, além do problema de custo de adequação ser (em regra) menos relevante, há também a maior familiaridade com o tema, que já vem sendo tratado como um dos novos parâmetros de governança corporativa.

Rodrigo Pinheiro: Ao que tudo indica, a notícia de que a LGPD entraria totalmente em vigor em agosto fez com que as companhias corressem contra o tempo. A maioria das empresas está começando somente agora a fazer as adaptações, de modo que ainda é cedo para afirmarmos que elas já estão adaptadas. O tempo nos dará essa resposta. 

A LGPD, a princípio, não distingue sua aplicabilidade em relação ao porte da sociedade. No entanto, a lei prevê a possibilidade de que a ANPD amenize o nível de exigência dos mecanismos de salvaguardas, segurança e produção de relatórios em relação a determinadas empresas. Será levado em consideração o seu porte e volume de tratamento de dados.


Para os donos dos dados, a LGPD oferece nessa nova fase mais segurança?

Paula Chaves: Não há como negar que, com a presença de penalidades das mais diversas, que vão desde advertências e multas até a possibilidade de suspensão do direito das empresas de tratar dos dados pessoais, a aderência tende a ocorrer de forma mais acelerada. De todo o modo, medidas educativas e de auxílio não podem ser deixadas em segundo plano, uma vez que o mundo corporativo ainda está em processo de entendimento sobre o tema.

Rodrigo Pinheiro: Com certeza sim. A regulação de um cenário antes não regulado poderá inibir os maus tratadores de dados e incentivar a autorregulação por parte dos próprios agentes. Mas a lei sozinha não será o suficiente para trazer a proteção almejada. A mudança de cultura da sociedade e uma atuação fiscalizatória eficiente da ANPD serão imprescindíveis para o sucesso da legislação.


Leia também

Sanções da LGPD já estão valendo

Open banking: os riscos de uma boa iniciativa

ANPD publica orientações para incidentes com dados pessoais

Deixe uma resposta

Seu endereço de e-mail não será publicado.