No último dia 27 de fevereiro, aconteceu a publicação da norma de dosimetria pela Autoridade Nacional de Proteção de Dados (ANPD). Com isso, a partir de agora, poderão ser alvo de multas e penalidades administrativas as empresas que descumprirem a Lei Geral de Proteção de Dados (LGPD).

“Essa é uma esperança que surge em relação ao tema, visto que até o momento não se observava efeito da LGPD. Lembrando que a lei já está em vigor desde setembro de 2020, mas, apesar das infrações já terem sido estabelecidas, essa norma era necessária para a aplicação das sanções e para dar andamento aos processos parados”, explica Afonso Morais, CEO da Morais Advogados Associados e especialista em direito digital e fraudes.

As multas são pesadas, podendo chegar a 2% do faturamento das empresas, tendo como teto o valor de 50 milhões de reais por infração. Espera-se que com isso os cuidados por parte das empresas sejam maiores, pois até o momento o que se observa é que ligações e mensagens indesejadas para os consumidores pelos mais variados meios não tiveram grandes alterações.

“Os números de tentativas de golpes que usam dados pessoais estão em uma crescente. A realidade é que, para as leis funcionarem no Brasil, é preciso um intenso trabalho de fiscalização e punição. Como ocorreu em relação à legislação que proibia fumar em locais públicos e com o uso obrigatório do cinto de segurança, as normas surtiram efeito em razão do receio da punição. A LGPD é muito boa, mas é preciso fiscalização para que ela funcione”, explica Afonso Morais.

Para entender melhor, a lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade das pessoas. Para que essa lei seja aplicada, foi criada a Autoridade Nacional de Proteção de Dados (ANPD), responsável por zelar pela proteção de dados pessoais e por regulamentar, implementar e fiscalizar o cumprimento da LGPD no Brasil.

Esse órgão aplicará as sanções em razão das infrações cometidas, que estão previstas no artigo 52 da LGPD em caso de descumprimento, entre as quais estão: advertência; multa simples, de até 2% do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil, no seu último exercício; multa diária; e publicização da infração.

“Em resumo, é função da ANPD zelar pela proteção dos dados pessoais e lutar pela observância dos segredos comercial e industrial, observada a proteção de dados pessoais e do sigilo das informações quando protegido por lei ou quando da quebra do sigilo. Mas, infelizmente, ainda não se tem observado a ação efetiva dessa autoridade”, explica Afonso Morais.

Ele complementa ressaltando que a ANPD já está em funcionamento e recentemente informou que pretende triplicar funcionários, devendo chegar a 315 funcionários. Além disso, para 2023, a entidade tem um orçamento de R$ 50 milhões. Em contrapartida, observa-se que até fevereiro de 2023 ainda não se tinha aplicado nenhuma multa contra empresas privadas ou empresas estatais que descumpriram a legislação.

Por isso, há a positividade dessa nova norma, que pode fazer com que a LGPD realmente ganhe força, com uma atuação mais incisiva da agência. Temos uma excelente lei de proteção de dados, o que está faltando é que ela entre efetivamente em vigor agindo dentro de suas obrigações legais, que é o combate ao vazamento de dados. Isso com certeza traria como resultado a redução de golpes e fraudes que são alimentados com vazamento de dados.

O que as empresas podem fazer para se adequar?

Segundo Lucas Alves da Silva Bonafé, especialista em direito digital e proteção de dados da Machado Nunes Advogados, uma empresa que deseja se tranquilizar a respeito das exigências regulatórias sobre privacidade não precisa entrar em pânico, apenas se organizar.

“O primeiro passo que uma instituição deve identificar para se tranquilizar sobre as exigências regulatórias de privacidade é mapear seus processos de negócio com o objetivo de identificar quais dados pessoais são utilizados para a realização das atividades de negócio; quem consome e com quem compartilho esses dados; onde essas informações estão armazenadas e quem possui acesso a elas”, explica.

Após a identificação dos dados pessoais trafegados e de suas respectivas finalidades para as atividades de negócio, a empresa deverá definir as regras de utilização, os procedimentos de governança que serão implementados e o profissional que será responsável pela privacidade, ou seja, o Encarregado de Proteção de Dados Pessoais — Data Protection Officer.

“Para a realização das tarefas elencadas, é recomendável que a empresa busque um profissional ou um time especializado que possa auxiliar na realização das atividades e na identificação das prioridades do Programa de Privacidade”, explica Lucas Bonafé.

Os suportes jurídico e técnico deverão auxiliar no desenvolvimento de trabalhos internos que correspondam ao orçamento e ao tempo que a organização poderá investir nas implementações indicadas.

Por fim, recomenda-se que exista um profissional interno que seja o ponto focal entre organização e profissional ou time especializado, que deve possuir autonomia e considerável poder de decisão sobre o tema para fluidez nos ajustes necessários.

Para pequenas empresas é mais simples

Empresas de pequeno porte e startups também devem cumprir essas regras, contudo, as regras se diferenciam das demais empresas. A Resolução apresentou regras mais simples para tais instituições, considerando o tamanho de suas operações.

“Dentre as diferenças, ressaltamos alguns pontos: a realização do Registro das Atividades de Tratamento (“mapeamentos” de processos) de modo simplificado; e prazos em dobro para atendimento das solicitações dos titulares; comunicações dos Incidentes de Segurança e eventuais requisições a serem regulamentadas pela ANPD”, explica Lucas Bonafé.

Ele destaca que é importante estar atento, pois as fiscalizações pela ANPD já começaram. “A dosimetria regulamentou os tipos de danos e a forma de aplicação de todas as sanções previstas na lei, porém, como a LGPD está em vigor desde 2020, as autoridades já possuem competência para analisar as infrações à lei”, explica.

Isso encerra a dúvida das empresas que acreditavam ou torciam para que a legislação não “pegasse”, pois, além das fiscalizações e dos processos administrativos que poderão ser promovidos pela ANPD, as instituições deverão observar que o assunto está ganhando cada vez mais protagonismo na sociedade, sendo amplamente divulgado em diversos ambientes.

Esse crescente debate sobre o uso de dados pessoais pelas empresas está levando consumidores e usuários a entrarem em contato com as instituições sobre o uso de dados e a realizarem questionamentos formais aos órgãos de defesa do consumidor e até ao Poder Judiciário sobre o tema. 

Próximos passos

A ANPD, no final do ano passado, publicou a sua agenda regulatória para o biênio 2023/2024, no qual elenca 20 (vinte) ações que serão realizadas nesse período. Todas as ações de alguma maneira impactam as empresas, pois regulamentam temas previstos na LGPD.

“Dentre os pontos, destacamos: os direitos dos titulares de dados pessoais; atribuições do encarregado e quais empresas não necessitam dos profissionais; e definição do que é um tratamento de dados de alto risco e larga escala”, explica o advogado da Machado Nunes.

Além da elaboração e das respectivas publicações de normativas acerca de temas que carecem de maior aprofundamento e pontos controvertidos sobre o assunto, os diretores da ANPD sistematicamente em seus encontros reforçam que, em que pese a repreensão necessária para inibir a violação à lei, a prioridade da agência é a conscientização e apresentação das boas práticas no uso de dados pessoais.

“Em relação aos demais movimentos regulatórios, entendemos que as entidades de classe e os demais setores de indústrias e serviços, sobretudo aqueles altamente regulados, deverão articular-se cada vez mais para que as obrigações voltadas às questões de privacidade estejam coerentes com a realidade vivenciada por cada categoria”, finaliza Bonafé.

 

Deixe uma resposta

Your email address will not be published. Required fields are marked *