A aplicação de sanções por desrespeito à Lei Geral de Proteção de Dados (LGPD) começou a valer em 1º de agosto deste ano e agentes de tratamento (sejam pessoas físicas ou jurídicas) podem ser responsabilizados administrativamente pelo tratamento irregular de dados pessoais.
São 9 penalidades:
- Advertência;
- Multa simples de até 2% do faturamento do exercício anterior, limitada a R$ 50 milhões por infração;
- Multa diária de até 2% do faturamento do exercício anterior, limitada a R$ 50 milhões por infração;
- Publicização da infração cometida e devidamente apurada;
- Bloqueio dos dados até a regularização;
- Eliminação dos dados;
- Suspensão parcial do funcionamento dos bancos de dados por até 6 meses, com possibilidade de prorrogação por igual período;
- Suspensão do exercício das atividades relacionadas ao tratamento de dados por até 6 meses, com possibilidade de prorrogação por igual período e,
- Proibição parcial ou total do exercício de atividades relacionadas ao tratamento de dados.
A fiscalização será feita pela Autoridade Nacional de Proteção de Dados (ANPD), órgão do Governo Federal criado há nove meses para regulamentar e fiscalizar o cumprimento da legislação. A proposta é que a atuação da ANPD seja prioritariamente didática nesta fase inicial, contudo já possível a aplicação de qualquer das penalidades listadas, pois o prazo de vacatio legis, que ainda perdurava para os dispositivos da lei que preveem tais sanções, se encerrou no último dia 31 de julho.
A legislação prevê, ainda, que as empresas devem estruturar o tratamento dos dados segundo os papéis definidos: operador (que realiza o tratamento de dados pessoais em nome do controlador), o controlador (aquele a quem competem as decisões referentes ao tratamento de dados pessoais) e o encarregado (pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a ANPD).
De modo geral, objetivo da LGPD é tutelar juridicamente a posse, o acesso, o armazenamento e o descarte dos dados pessoais (como nome, endereço, CPF etc.) e dos dados pessoais sensíveis (aqueles que dizem respeito a aspectos inerentes à personalidade e às preferências dos cidadãos, tais como religião ou quadros de saúde, por exemplo). O problema é que, apesar do tempo de adaptação, muitos empresários ainda não se adequaram.
O advogado Geraldo Gonçalves de Oliveira especializou-se em direito e inteligência artificial porque seus clientes começaram a pedir consultorias na área. E a LGPD virou um dos seus atendimentos de referência. Agora, 1/3 da demanda do seu negócio é sobre o assunto. E só no último mês já houve um aumento de 30% em relação ao mesmo período do ano passado. “Muitos empresários de todo porte deixaram para organizar as diretrizes da LGPD na última hora. As dúvidas são grandes até mesmo entre os advogados. Por isso, eu me especializei em uma faculdade de referência. São inúmeros os detalhes que não podem escapar porque as multas e as sanções podem ser impactantes para os empresários e para a sociedade”, comenta.
E o cidadão também precisa saber mais. A autônoma Míriam Belo faz doces e pizzas para vender. Ela tem acesso a informações de seus clientes. Muitos deles também tem dados da empreendedora. Mas ela ainda nem ouviu falar sobre LGPD. “É claro que a gente sabe que não passa CPF e identidade dos clientes para outras pessoas. Mas eu não sabia que tinha lei sobre isso e nem mesmo regras definindo como fazer cada etapa do acesso à essas informações. Certamente precisarei de ajuda porque não entendo muito disso”, comenta preocupada. Míriam não está só. Muitos ainda desconhecem a LGPD e as diferenças dela para o que já está previsto, por exemplo, no Código de Defesa do Consumidor e na legislação civil em geral, que envolve temas como a violação ao direito de imagem e outras garantias jurídicas que tratam de assuntos relativos aos dados.
Para José Luiz de Moura Faleiros Júnior, professor de direito da Faculdade SKEMA Brasil e advogado , a LGPD veio para trazer maior segurança jurídica a uma sociedade conectada e marcada pelas atividades de tratamento de dados: “A tecnologia é uma realidade inescapável. As informações pessoais são valioso substrato contemporâneo, pois alimentam sistemas capazes de traçar perfis de comportamento e consumo, que tiveram o uso potencializado pelo implemento de algoritmos em diversas atividades. E, no Brasil, ainda não estamos atentos aos riscos da circulação inconsequente destes dados. Os mais graves envolvem manipulações comerciais muitas vezes realizadas pela perfilização abusiva ou pela coleta de dados pessoais sem o consentimento do titular. Nesse sentido, o primeiro conceito que precisamos reforçar é o de que dados têm valor e dono, consolidando o fundamento da autodeterminação informativa, enunciado no texto da LGPD. E dados não devem circular sem autorização ou controle, pois isso vulnerabiliza toda a sociedade. É preciso pedir permissão ao titular dos dados para acessá-los, armazená-los e usá-los. E mais: quem o fizer precisa informar para o titular e para as instituições fiscalizadoras como, quando e de que maneira isso foi feito, e para qual finalidade. É um longo caminho que ajustaremos ao vivenciarmos os impactos da lei. Um desafio para todos nós. Mas, somente assim, o desenvolvimento tecnológico será instrumento de construção de uma sociedade mais dinâmica e adaptada aos desafios do século XXI”.
Faleiros orienta ainda que, para começar, todos precisamos entender quais são os direitos do titular dos dados, que a lei apresenta em rol bem definido. Ele destaca alguns desses direitos:
- Acesso – titular precisa saber quem tem acesso aos seus dados;
- Confirmação de existência do tratamentos de dados – titular precisa saber se existem dados seus sendo tratados;
- Revogação do consentimento para o tratamento de dados – titular pode desautorizar qualquer tipo de tratamento de dados, ainda que tenha autorizado anteriormente;
- Anonimização – titular pode solicitar a utilização de técnicas para minimizar sua identificação em determinado banco de dados;
- Portabilidade – titular pode solicitar que seus dados sejam portados de um agente de tratamento para outro.
O especialista completa: “A LGPD é um grande avanço e, nesta etapa, o processo educativo para cidadãos e agentes de tratamento é o mais importante. Empresas de portes variados e que atuam em segmentos diferentes terão necessidades igualmente diversas e isso precisa ser considerado. As grandes empresas, que possuem maior suporte especializado acabaram começando mais rapidamente a mudança. Mas todos precisaremos de tempo e muitas campanhas de conscientização para absorvermos quais são nossos direitos e deveres”, finaliza.