A LGPD entraria em vigor em agosto de 2020; a Medida Provisória 959 prorrogou a vigência para janeiro de 2021, mas com a aplicação de penalidades somente a partir de agosto de 2021. A MP foi aprovada na Câmara ontem (dia 25 de agosto), e hoje (26 de agosto) o Senado aprovou a MP, mas com a vigência IMEDIATA. Apenas as multas ficarão para agosto/2021.
O que é a LGPD mesmo?…
Muitos ainda não sabem o que é a Lei Geral de Proteção de Dados (LGPD); e dos que sabem, há os que não têm a menor ideia do impacto dela em seus negócios.
Trata-se da Lei n° 13.709/2018, que dispõe sobre o tratamento de dados das pessoas físicas, normatizando o seu uso, guarda, exibição, utilização etc., impondo penalidades, exigindo consentimentos, dentre outras obrigações.
Em resumo, se você possui, recolhe, utiliza ou trata por qualquer modalidade informações de pessoas físicas, você está sujeito à LGPD.
Pense bem: se a sua empresa vende para pessoas físicas (comércio varejista ou prestador de serviços), ela trata dados dessas pessoas. Se só se relaciona comercialmente com outras pessoas jurídicas, ok, menos um problema, mas se possui funcionários, pronto, já está tratando de dados pessoais. Será difícil alguma empresa estar fora do alcance da LGPD.
Para se ter uma ideia do alcance, a lei define “tratamento de dados” o seguinte: “toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração”.
A lei determina que dados pessoais somente podem ser utilizados com consentimento do titular, ou, sem consentimento, nos seguintes casos: proteção do crédito, utilização judicial, execução de contratos.
Esse consentimento deve ser fornecido por escrito, e pode ser revogado a qualquer tempo, também por escrito. E quando do consentimento, a finalidade do uso deve ser expressamente indicada.
Terminado o uso para o qual foi consentido, ou revogada a permissão, os dados devem ser eliminados.
A pessoa física titular dos dados possui os seguintes direitos – o que, na outra ponta, significa um dever para as empresas que os possuem: confirmação da existência de tratamento; acesso aos dados; correção de dados incompletos, inexatos ou desatualizados; anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto nesta Lei; portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial; eliminação dos dados; informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados; informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa; revogação do consentimento.
A lei prevê até de que forma e em qual prazo as empresas deverão responder as solicitações acima.
Daí já se pode entender o impacto para as empresas: precisam estar aptas a realizar todos esses procedimentos com as informações que possuem de pessoas físicas, sob pena de sofrerem sanções pecuniárias (falaremos mais a frente das multas). Um sistema de gerenciamento (ERP) será necessário.
A lei prevê que os agentes devem adotar medidas de segurança aptas a proteger os dados pessoais. Até aí, nada inesperado. Mas o parágrafo primeiro do artigo 46 estabelece que a Autoridade Nacional poderá dispor sobre padrões técnicos mínimos para tornar aplicável tal disposição. É de se esperar o que será regulado nesse sentido, se é que teremos regulação.
Dependendo, pode criar despesas consideráveis para pequenas e médias empresas.
Prevê ainda a lei que “o controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares”. Em breve, portanto, será criada mais uma declaração, nos termos das que já existem para o fisco e para o Coaf.
O artigo 50 da Lei estabelece a obrigação de implementação de regras de boas práticas e de governança para o tratamento dos dados. Aqui, mais uma obrigação: não será demais obter uma certificação para que se comprove tal fato perante a autoridade, consumidores, justiça etc.
Por fim, as penalidades, afinal, nosso legislador é pródigo em imputar multas para os particulares, e no caso da LGPD, não foi diferente.
As penalidades possíveis são:
I – advertência, com indicação de prazo para adoção de medidas corretivas;
II – multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
III – multa diária, observado o limite total a que se refere o inciso II;
IV – publicização da infração após devidamente apurada e confirmada a sua ocorrência;
V – bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
VI – eliminação dos dados pessoais a que se refere a infração;
X – suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;
XI – suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período;
XII – proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
Uma multa de 2% do faturamento por infração nos parece um disparate. A infração pode ser culposa; a lei tem diversos meandros, 65 artigos, e diversas zonas cinzentas; é elaborada pelo Congresso, mas aplicada (nos termos do Vice-Presidente Pedro Aleixo em 1968) pelo guarda da esquina; e, o mais importante, eventual infração não guarda qualquer relação com o faturamento da empresa.
Ainda que a penalidade seja aplicada somente após processo administrativo, o qual deverá levar em conta diversos atenuantes para a sua dosimetria – gravidade da infração, boa-fé, eventual vantagem auferida, grau do dano etc. –, tal fato não é suficiente para amenizar eventuais desmandos e injustiças, sobretudo partindo do pressuposto que, na forma da própria lei, é o agente que precisará provar a inexistência de descumprimento legal, e não o contrário.
Nesse breve e sintético apanhado, já conseguimos perceber que as empresas precisarão, no mínimo: (i) ter sistemas de informática para gerenciar os dados e as obrigações previstas na lei; (ii) buscar certificação (ISO, ou outra equivalente) de que cumpre as regras de boas práticas e compliance; e (iii) realizar um trabalho jurídico de preparação, ajustando seus instrumentos contratuais, criando procedimentos de autorização, documentos padrão de resposta, regras de atendimento, dentre outras adequações.
Você ainda está parado?
Sobre o autor