A Lei 13.709/2018, denominada Lei Geral de Proteção de Dados (LGPD), é uma legislação federal, de abrangência nacional e de alcance até mesmo fora do território brasileiro, que regulamenta a proteção de dados pessoais no Brasil. Envolve uma regulação ampla, abarcando múltiplos setores da economia, empresas em geral e prestadores de serviços, alcançando a todos aqueles (pessoas físicas e jurídicas, de direito público ou de direito privado), que realizam atividades de tratamento dados de pessoas físicas (pessoas naturais), em todos os níveis operacionais e organizacionais.
A LGPD impõe uma mudança de paradigma quanto ao tema da proteção de dados pessoais no Brasil, seja da perspectiva do titular dos dados pessoais, que tem seus direitos e garantias individuais consolidados e protegidos pela nova legislação, seja da perspectiva dos agentes de tratamento de dados, que tem novas obrigações a serem observadas.
Inicialmente, quando de sua promulgação em agosto de 2018, a entrada em vigor da LGPD ocorreria dois anos após a sua publicação, ou seja, em agosto de 2020. Porém, em razão dos acontecimentos recentes decorrentes da pandemia do COVID-19, com a editada Medida Provisória n. 959/20, ainda está pendente de confirmação, a LGPD passaria a vigorar a partir de maio de 2021. Neste mesmo espaço de tempo, e em razão da referida pandemia, foi editada a Lei n.14.010/20 que prevê a postergação para agosto de 2021 apenas da aplicação das sanções previstas na lei em caso de violação aos direitos relacionados à proteção de dados pessoais. Em que pese o cenário duvidoso quanto à entrada em vigor da LGPD no presente momento, o tema será dirimido ao final do mês de agosto, data em que, se não convertida em lei, caducará a Medida Provisória n.959/20 proposta pela presidência da república.
Portanto, ainda está em tempo de buscar adequação quanto aos preceitos e diretrizes previstos na Lei Geral de Proteção de dados, pois o conceito de “tratamento de dados pessoais” expresso na lei é extremamente amplo. Em termos práticos, considera-se tratamento de dados toda atividade de “coleta” e “armazenamento” de dados, desde o momento de sua obtenção até o seu descarte. Estão compreendidos neste conceito de tratamento e sujeitos à LGPD todas aquelas empresas que obtém dados de seus clientes, coletando informações de pessoas físicas na forma de cadastros, fichas, formulários, contratos em geral, informações de ordem pessoal, filmagem ambiental, programas de recompensa, etc., e que formalizam algum tipo de armazenamento destes dados, de maneira provisória ou permanente, ou que ainda compartilham esses dados e informações com outros parceiros de negócios, etc. Para que se tenha uma ideia ampla do conceito de tratamento de dados, o infográfico abaixo demonstra o ciclo desejável do “tratamento de dados”:
A proteção aos direitos e garantias individuais do titular dos dados pessoais que se quer alcançar com a LGPD está respaldada não somente pela reafirmação do princípio da boa-fé que deve permear todas as relações jurídicas, senão também pelos princípios expressos no artigo 6º da lei que exprimem os valores que se quer imprimir quanto ao tratamento de dados pessoais no Brasil.
Em síntese, os princípios que pautam a LGPD orientam que as atividades de tratamento de dados pessoais sejam transparentes e vinculadas a uma finalidade específica, sendo o desvio de finalidade quanto à utilização dos dados pessoais configura infração, passível de sanção nos termos da lei. Quer-se evitar, assim, o uso indevido de dados pessoais ou até mesmo a comercialização e compartilhamento indevido dessas informações.
A LGPD não pretende, portanto, proibir as atividades de tratamento de dados pessoais. Ao contrário, a nova legislação busca regulamentar e organizar as diferentes situações envolvendo proteção de dados pessoais, imprimindo maior transparência e confiabilidade às relações comerciais, empresariais, de prestação de serviços, etc. E, confiança é um valor fundamental no mercado, ainda mais porque as informações propiciadas pelos dados pessoais possuem mensuração e valor comercial.
Apesar da LGPD impor às empresas em geral diferentes níveis de adaptação, isso não significa apenas novos custos a serem suportados. Isto porque, inspirada no modelo europeu, a LGPD preenche uma lacuna presente no mercado brasileiro, à medida que eleva o grau de proteção em relação aos dados pessoais, aumentando também o grau de confiabilidade do mercado e, consequentemente, as possibilidades de negócios. Assim, se por um lado essa nova legislação impõe obrigações que demandam a adaptação dos processos internos por parte dos diferentes agentes econômicos e prestadores de serviço em geral, por outro, tal fato eleva os níveis de excelência e competitividade no mercado.
É preciso ainda pensar no custo de oportunidade perdida, decorrente da omissão quanto às adaptações aos novos padrões legais da LGPD. Isso porque, os países que apresentam regulação acerca do tema e dispõem de um elevado grau de proteção de dados pessoais, aqui se incluem todos os países do bloco europeu e alguns países latino-americanos, a exemplo da Argentina, passaram a exigir de seus parceiros de negócios condições equiparadas quanto à proteção de dados pessoais.
Por isso, a adequação à LGPD, por meio da implementação de um programa de conformidade quanto à proteção de dados, não pode ser visualizada apenas como um custo adicional, mas, em termos práticos, isso pode significar uma vantagem competitiva no atual cenário do mercado, abrindo novos mercados e possibilitando novos negócios para aqueles que estiverem adaptados.
A Lei Geral de Proteção de Dados criou a Autoridade Nacional de Proteção de Dados (ANPD) que será o órgão da administração federal encarregado de regular, fiscalizar e orientar políticas públicas quanto à proteção de dados. Ademais, como agência reguladora, cabe à ANPD a aplicação de sanções em caso de tratamento de dados realizado em descumprimento à legislação, mediante a instauração de processo administrativo.
As sanções previstas na Lei Geral de Proteção de Dados possuem graus variados, desde a (i) advertência, com prazo para adoção de medidas corretivas,(ii) multa pecuniária simples que pode recair sobre 2% do faturamento da empresa até o valor de 50 milhões de reais, (iii) multa diária, (iv) publicização da infração (com possível repercussão à imagem do agente econômico ou empresa irregular), (v) bloqueio e a (vi)eliminação dos dados pessoais relacionado à infração,(vii)a suspensão parcial do funcionamento do banco de dados, (viii) suspensão e a (ix) proibição parcial ou total do exercício de atividades de tratamento de dados.
Além das sanções expressas na lei que, como visto acima, podem até comprometer o desenvolvimento da atividade empresarial, deve ser levado em conta o risco reputacional derivado de qualquer incidente envolvendo dados pessoais e que pode afetar a imagem da empresa negativamente. Nos anos recentes, a mídia especializada já noticiou diversos casos emblemáticos de vazamentos de dados, de médias e grandes empresas (vide o caso notório do Facebook).
Em conclusão, o único caminho possível é o da adequação e da conformidade com a Lei Geral de Proteção de dados, até mesmo como forma de ocupar novos espaços e nichos de negócios, saindo à frente daqueles concorrentes que demorarem para se adaptar à nova legislação!
Anne Carolina Stipp Amador Kozikoski Advogada Mestre em Direito na USP OAB/ PR n. 32.064