Os adeptos de deixar tudo para a última hora, que contavam com mais um adiamento da Lei Geral de Proteção de Dados (LGPD), foram pegos de surpresa pelo Senado, que, em 26 de agosto, rejeitou a ampliação do prazo para a vigência até 31 de dezembro de 2020. O adiamento estava no artigo 4º da Medida Provisória nº 959/2020. Com isso, a legislação, que exige um processo complexo de adequação, depende apenas da sanção presidencial, o que pode ocorrer ainda em setembro. A LGPD garante direito à privacidade e segurança de dados pessoais e tem de ser cumprida por todos, entes públicos, empresas de qualquer porte, ONGs, bancos, consultórios médicos, escolas e quem quer que detenha informações sensíveis ou identificadoras de alguém.
No dia seguinte ao movimento do Senado, o governo federal publicou decreto, criando a estrutura da Autoridade Nacional de Proteção de Dados (ANPD), órgão que será responsável pela regulamentação da lei e fiscalização do seu cumprimento. As penalidades administrativas, que incluem multa de 2% do faturamento da empresa limitada a
R$ 50 milhões para quem descumprir a legislação, foram postergadas para agosto de 2021, até que a ANPD seja criada de fato. Contudo, nada impede ações judiciais de titulares de dados ou por demanda de outros órgãos, como o Ministério Público Federal e os Procons, uma vez que a Lei nº 13.709 é de agosto de 2018.
As sanções administrativas só poderão ser aplicadas pela autoridade, porém o Judiciário pode aplicar as penais, diz Isabela Pompilio, advogada especialista em direito digital e sócia do TozziniFreire Advogados. Entre elas, a publicização da infração, o bloqueio e eliminação dos dados, a suspensão parcial do banco de dados e do exercício da atividade de tratamento de dados, além de sanções específicas. “Há um vazio de poder, sem a ANPD constituída, e o que se tem visto são outros órgãos do governo, como Senacon (Secretaria Nacional do Consumidor) e Cade (Conselho Administrativo de Defesa Econômica) proferindo decisões como se fossem a autoridade”, ressalta. Isso ocorre, segundo ela, porque o próprio governo está sofrendo com vazamento de dados.
Bancos, operadoras de telefonia, agências reguladoras, redes sociais e aplicativos já tiveram os dados de brasileiros vazados. “Sem a implementação efetiva da ANPD fica um cenário de incertezas e insegurança jurídica para as empresas brasileiras. Mas não dá mais para adiar. Dois anos se passaram da aprovação da lei e as empresas continuam esperneando com a entrada em vigor”, observa. “O Brasil precisa fazer com que a lei entre logo em vigor. Tudo circula pela internet. Não tem mais desculpa de pandemia. Isso provoca fuga do capital estrangeiro do país.”
Em vez de torcer para o adiamento, o país deveria lamentar pelo atraso da LGPD, alerta Júlio Almeida, head de compliance da Wavy Global. “O mercado já vem cobrando isso. Na Wavy somos cobrados porque a empresa é internacional e opera no México, que tem lei desde 2010, na Colômbia e no Chile, onde há legislação desde 2012, e na Argentina, que há 20 anos protege os dados. Somos os últimos. O Brasil está atrasado”, diz.
Almeida ressalta que penalidades e multas já são aplicadas e uma série de empresas foi multada. “O próprio Facebook foi multado pelo TJ (Tribunal de Justiça) de São Paulo, em torno de R$ 6 milhões. A conformidade não é opcional. Todas as empresas e entes públicos precisam se adequar”, afirma. Conforme o especialista, a LGPD permeia privacidade e segurança. A lei prevê 10 princípios (veja quadro acima). “Se qualquer dado vazar, a empresa está em maus lençóis. Se um hacker invadir, também, porque a segurança é uma exigência.”
Como em tecnologia digital são muitos os rastros deixados, é preciso varrer tudo, armazenamento em nuvem, backups, logs, alerta Almeida. “A empresa tem que cuidar do ciclo de vida dos dados, desde que entra na empresa, por onde passa até o datacenter onde fica armazenado e apagar dados desnecessários, sobretudo quando o vínculo com o titular dos dados acaba”, explica. “Além disso, a empresa terá de comprovar que fez isso”, completa.
Recado
Para Fabricio Polido, sócio da área Inovação e Tecnologia do L.O. Baptista Advogados, a lei brasileira é importante porque o país é, hoje, a quarta maior comunidade digital do mundo, segundo a União Internacional de Telecomunicações (UIT). “O modelo é espelhado no europeu e alia o Brasil aos padrões da OCDE (Organização para a Cooperação e Desenvolvimento Econômico), grupo ao qual o país almeja integrar. “O movimento tem de ser feito para fortalecer o sistema de proteção de dados aplicado à atividade econômica”, explica.
O ambiente do país, de acordo com o especialista, é propício para uma mudança de cultura em relação à proteção de dados. “A ministra Rosa Weber (do Supremo Tribunal Federal) mandou um recado muito duro, por ocasião da tentativa de compartilhamento de dados das empresas de telefonia com o IBGE (Instituto Brasileiro de Geografia e Estatística) por meio de MP, para que o governo leve a sério as questões sobre a proteção de dados para que as informações dos indivíduos não sejam usadas com tecnovigilância e violação de direitos fundamentais”, afirma.
Mapeamento com triagem
O fato de a Autoridade Nacional de Proteção de Dados (ANPD) ainda não existir, oficialmente, e de ser o órgão responsável pela regulamentação não impede a adequação das empresas, garante o especialista em direito regulatório Fabio Izidoro, sócio da Miguel Neto Advogados. “A lei existe desde 2018 e foi feito um trabalho de apresentação para as empresas. Há um período de adaptação, com penalidades administrativas apenas em 2021, mas o Judiciário já está acionado para vazamento de dados. A empresa precisa se adequar conforme seu melhor entendimento da lei. Quando vier o regulamento, adapta-se”, argumenta.
Segundo ele, ninguém sabia o que era compliance (instrução interna) há 10 anos e as empresas precisaram entender. “Agora, é a vez dos dados. Um mapeamento das informações é primordial para começar a fazer a triagem dos dados realmente necessários e aqueles que a empresa não deve correr o risco de manter.”
O percentual de adequação dos requisitos para atender à lei, no entanto, ainda é baixo, revela pesquisa da ICTS Protiviti, consultoria de gestão de riscos e compliance, segundo a qual a Lei Geral de Proteção de Dados (LGPD) entrou em vigor num momento em que houve queda de 89% no interesse das organizações em avaliarem seus processos para a adoção de medidas. O levantamento, baseado no Portal LGPD — criado pela companhia para informar o grau de maturidade das empresas à lei —, revela que entre agosto de 2019 e março de 2020 havia uma média de 29,8 registros de análise de maturidade. Porém, entre abril e junho deste ano, a média mensal caiu para 3,3 registros por mês.
De acordo com o porta-voz da pesquisa e especialista em LGPD, André Cilurzo, as empresas precisam acelerar o processo de adequação. “Existia uma expectativa grande de a lei ser postergada, mas houve uma reviravolta. Agora, não dá mais para adiar as medidas”, destaca. Ele pontua passos para melhor se adaptar. “Tem de entender como tratar os dados e abrir um canal de atendimento com o titular desses dados, assim como já existe para o consumidor”, diz.
Anos-luz
Enquanto a maior parte das empresas posterga a adequação, as companhias que têm a tecnologia no seu DNA estão anos-luz à frente. A Locaweb, empresa de soluções para transformação digital, começou o processo no início de 2019. Aline Goldstejn, gerente jurídica da empresa, conta que a estratégia partiu de uma conversa com o time de todas as empresas do grupo para identificar onde haveria tratamento de dados e eventuais falhas. “Reforçamos medidas de segurança, com criptografia de dados, melhoramos a política de privacidade, abrimos um canal de comunicação, com perguntas e respostas, e vamos lançar uma cartilha de boas práticas.”
Washington Fray, diretor de marketing e vendas da Viceri, holding de Tecnologia da Informação, explica que o ponto de partida é o mapeamento de todos os dados armazenados pela organização e depois ver quem têm acesso a essas informações. “No terceiro passo, caímos na segurança da informação, a chave do processo de adaptação das empresas à LGPD”, ensina. Isso porque a rede pode estar exposta, sobretudo, agora, em tempos de home office, em que os empregados estão conectados aos sistemas das empresas por VPN. O especialista também ressalta a importância de nomear o encarregado, ou o DPO (Data Protection Officer), cargo criado pela LGPD. “Ele deve acompanhar as etapas do processo de adequação do ponto de vista tecnológico e jurídico. O importante é ter em mente que, pelas numerosas etapas, há urgência”, alerta. “A chance de o presidente vetar é muito pequena”, opina.
Pedro Naroga, co-fundador e CTO da Crawly, empresa focada no desenvolvimento de robôs inteligentes para encontrar dados, ressalta a mudança de paradigma que LGPD traz. “Antes as empresas tentavam trabalhar com o máximo de dados possível. A LGPD regulamenta o acesso, restrito à necessidade e finalidade”, diz. A lei, segundo ele, inviabiliza alguns tipos de negócios, como quem compra banco de dados. “Essas não vão poder continuar operando.” A adequação, explica Naroga, é um trabalho retroativo, de limpeza dos rastros. “Nós desenvolvemos todos os nossos produtos trabalhando com a possibilidade da LGPD. Porque a lei vai entrar. Não tem escapatória.” (SK)
