Por João Victor Silva, analista de mercado da Orsitec, formado em Relações Internacionais e Economia pela Boston University, nos Estados Unidos.

A lei que promete mudanças na forma como as empresas lidam com os dados pessoais do brasileiro dá mais um importante passo este mês. Quase um ano depois do período de carência concedido para adaptação, a cobrança das multas e punições da Lei Geral de Proteção de Dados (LGPD) finalmente entra em vigor agora, em agosto de 2021.

Com isso, empresas e órgãos públicos que descumprirem as regras previstas em lei poderão sofrer punições pesadas. A LGPD prevê desde simples advertências até multas que podem chegar a R$ 50 milhões por infração e interrupção das atividades.

Essa lista de sanções inclui, por exemplo:

• advertência;
• multa (diária ou com limite de até 2% do faturamento da empresa, com teto de R$ 50 milhões por infração);
• bloqueio dos dados pessoais, objeto da violação;
• suspensão parcial do funcionamento do banco de dados;
• proibição parcial ou total do exercício da atividade relacionada ao tratamento de dados.

Tais penalidades passam a valer em um momento em que o país enfrenta sérios episódios de vazamentos de dados. O incidente mais preocupante ocorreu em janeiro, quando 223 milhões de brasileiros tiveram seus CPFs expostos por banco de dados de várias origens. O número é maior do que a própria população do país, estimada em 212 milhões. Isso porque os dados vazados envolvem até mesmo pessoas falecidas. 

A fiscalização e aplicação das punições estão a cargo da recém criada Autoridade Nacional de Proteção de Dados (ANPD). No entanto, os critérios e a forma como isso será feito ainda depende de regulamentações sobre o tema. A ANPD ainda estuda a matéria e, entre maio e junho, chegou a colocar uma proposta em consulta pública por meio da qual recebeu mais de 1,8 mil contribuições.

O que muda com a LGPD?

Em vigor há um ano, a LGPD (Lei nº 13.709) dá mais poder ao cidadão sobre seus dados pessoais. Ela surge para punir empresas privadas e órgãos públicos que negligenciam a adoção de medidas de proteção e segurança de informações pessoais que estão sob sua guarda. 

Na prática, a LGPD não impede a coleta e tratamento de dados pessoais. Pelo contrário: a legislação apenas impõe limites para que o uso, o tratamento e o compartilhamento não sejam feitos de forma irregular e abusiva. A ideia da lei, portanto, é que tais informações sejam trabalhadas de forma ética e com respeito à privacidade das pessoas.

Isso significa que, para coletar dados pessoais de clientes e outros prospectos, a empresa deve pedir o consentimento da pessoa e informá-la a respeito da finalidade para a qual eles serão usados. Além disso, é preciso ter muita segurança para armazenar esses dados, evitando invasões de hackers.

As exigências valem não só para o meio virtual, como também para o físico. O setor de Recursos Humanos, que costuma armazenar os dados de funcionários e ex-funcionários em formato físico, por exemplo, é um bom indicativo de como a legislação surge para atingir todos os tipos de setores e situações.

Quem se sentir lesado de alguma forma pode entrar com ações judiciais, o que abre a possibilidade de uma enxurrada de processos. Antes, no entanto, é preciso percorrer outro caminho: recorrer à própria empresa e, se não houver solução, fazer a denúncia à ANPD por meio do seu canal de denúncias. Tanto na ANPD, quanto na Justiça, será preciso apresentar documentos que comprovem que a reclamação foi feita, mas não foi solucionada. 

Para que serve uma lei de dados pessoais?

A vigência da LGPD é uma forma de inserir o Brasil no movimento global em favor da proteção dos dados pessoais. Afinal, outros países também estão aprovando legislações com a mesma proposta. 

A lei brasileira, por exemplo, é inspirada na General Data Protection Regulation (Regulamento Geral sobre a Proteção de Dados), que, desde 2018, controla a privacidade e proteção de dados pessoais em toda a União Europeia.

No Brasil, no entanto, a novidade da lei ainda deixa algumas incertezas pelo caminho. É comum, por exemplo, que o país leve um tempo até se acostumar com uma legislação que tenta impor uma nova cultura ao seu povo. Se, de um lado, a ANPD ainda não sabe como será feita a fiscalização e as penalidades, de outro, o Judiciário também tem suas dúvidas sobre como serão as primeiras decisões.

Afinal, o próprio tema da lei (tratamento de dados pessoais) ainda é um território pouco explorado, dificultando previsões a respeito de como as coisas vão funcionar. Até que a jurisprudência e a doutrina firmem um posicionamento, o país terá que conviver com um certo clima de insegurança jurídica.

O que se sabe, por enquanto, é que as sanções e penalidades previstas pela LGPD vão muito além de apenas onerar o caixa das empresas. Até porque a divulgação de eventual infração pode deixar marcas na reputação da empresa e até e isolá-la do mercado, e esse preço pode ser muito mais alto do que qualquer multa recebida.