Ursula Ribeiro de Almeida, sócia da Roncato Advogados. Doutora e Mestre em Direito pela Universidade de São Paulo. Artigo publicado no portal Law Innovation
A Lei Geral de Proteção de Dados – LGPD (Lei n° 13.709/2018) foi promulgada em 14 de agosto de 2018, e o texto original previa um período de 2 anos até o início da sua vigência em razão do significativo impacto para as atividades de empresas e órgãos públicos. Ocorre que a pandemia de coronavírus levou à discussão quanto ao início da vigência previsto para 14 de agosto de 2020, já que os desafios sanitário, social, econômico e político tornavam muito difícil a adoção das medidas de adequação pelos agentes de tratamento de dados em tempo hábil. Após debate no Congresso Nacional quanto à prorrogação da vigência da LGPD por meio da Medida Provisória n° 959/2020, o Senado decidiu manter o início da vigência e prorrogar somente as sanções administrativas para 1° de agosto de 2021.
Assim, a LGPD entrou em vigor em 18 de setembro de 2020, impondo diversas obrigações aos agentes de tratamento de dados pessoais, e as sanções administrativas em 1° de agosto de 2021. Portanto, a LGPD atualmente está em sua plena vigência.
Observou-se ao longo dos últimos meses o aumento da preocupação quanto à necessidade de adoção de medidas de adequação à LGPD, especialmente em razão das rigorosas sanções administrativas que podem ser aplicadas pela Autoridade Nacional de Proteção de Dados – ANPD. Dentre as sanções, destacamos a multa de até 2% do faturamento, limitada a 50 milhões de reais por infração, além de suspensão de acesso a banco de dados e publicização da informação relativa à violação à lei, que pode provocar sérios danos à imagem do agente de tratamento.
Ao contrário da expectativa inicial, a Autoridade Nacional de Proteção de Dados ainda não regulamentou o processo administrativo sancionador. Segundo informação disponibilizada pela própria Autoridade, o Regulamento de Fiscalização e Aplicação de Sanções Administrativas foi submetido a Consulta Pública entre 28 de maio e 28 de junho, porém não foi indicada previsão da publicação do texto final. A ANPD também aponta que submeterá a consulta pública outra norma para disciplinar a aplicação das sanções e a sua dosimetria.
Embora, na prática, a ANPD ainda não possa dar início ao processo administrativo para aplicar as penalidades previstas na LGPD, a Autoridade sinalizou que, após a aprovação do seu regulamento, poderá aplicar as penalidades em relação aos fatos ocorridos a partir de 1° de agosto de 2021 ou para delitos de natureza continuada iniciados antes da referida data. É importante ressaltar que a ANPD disponibiliza há algum tempo um canal de denúncias para que os próprios titulares de dados (qualquer pessoa física) possam reportar violação à LGPD e, também, celebrou convênios de cooperação técnica com outras entidades para resguardar a proteção de dados. Até o momento, a ANPD celebrou convênio com a Secretaria Nacional do Consumidor – SENACON e com o Conselho Administrativo de Defesa Econômica – CADE, bem como é objeto de análise cooperação com o Ministério Público. Portanto, é provável que os técnicos da ANPD já disponham de material para iniciar a abertura de diversos processos administrativos relativos aos casos reportados pelos próprios titulares e por outros órgãos, estando pendente somente a disciplina do procedimento a ser seguido.
A ANPD indica que sua atuação repressiva diante de violação à LGPD será precedida por etapas de monitoramento, orientação e prevenção. Ou seja, em princípio é esperado que a ANPD priorize a atuação educativa e preventiva.
Ainda que a aplicação das sanções administrativas não seja o objetivo principal da ANPD, é importante que os agentes de tratamento intensifiquem sua atenção no tratamento de dados pessoais, já que a LGPD é objeto de inúmeras ações judiciais para discutir os mais diversos temas, seja a violação a direito dos titulares, danos provocados por vazamento de dados, e até mesmo divergência entre empresas e órgãos públicos quanto a compartilhamento de dados. Um dos pontos de divergência debatido judicialmente é relativo à necessidade de compartilhamento de dados de clientes ou empregados com órgão público, sindicato ou outra entidade para finalidade de execução de contrato ou cumprimento de obrigação legal. Identificamos ainda ação civil pública para discutir a comercialização de banco de dados sem a autorização dos titulares de dados. Além disso, os recorrentes vazamentos de dados, associados à ampla divulgação na mídia, podem levar à multiplicação de ações indenizatórias de titulares de dados. Também é importante lembrar que os empregadores tratam relevante volume de dados de seus empregados e ex-empregados, sendo necessário compreender as atividades de tratamento e, quando for o caso, revisá-los, sob pena de questionamento em sede de reclamação trabalhista individual ou questionamento por ação coletiva movida por sindicato de empregados.
Outro aspecto relevante é quanto à necessidade de adequação à LGPD para viabilizar a continuidade de relações comerciais com grandes players de mercado e até mesmo com o Poder Público, já que se observa em ambos os casos a revisão dos processos de tratamento de dados para adequação à nova lei e imposição de diversas obrigações às empresas com quem mantêm relações comerciais, mesmo aquelas de pequeno e médio porte. É recorrente a imposição contratual de obrigações às empresas prestadoras de serviços ou fornecedoras de produtos quanto à proteção de dados, como, por exemplo, restrição à subcontratação, adoção de padrões internacionais de segurança da informação, realização de auditorias anuais em proteção de dados, comprovação de treinamento de equipes internas em relação à proteção de dados, responsabilização solidária perante os titulares de dados, dentre outras.
Em muitos casos, as exigências estão estabelecidas em políticas corporativas e são impostas às empresas contratadas, que precisam atender padrões elevados de exigência em relação à proteção de dados. Os órgãos públicos também iniciaram movimento de revisão de processos de contratação de empresas privadas para exigir que tenham adotado medida de adequação à LGPD. O Programa de Governança em Privacidade elaborado pela Secretaria de Governo Digital, direcionado a órgãos públicos federais, indica, como uma das etapas do programa, a necessidade de adequação das cláusulas contratuais para impor obrigações às partes, visando a transparência no tratamento dos dados perante os titulares.
Em síntese, as penalidades administrativas vigentes desde 1° de agosto podem não ser o principal objetivo da ANPD neste primeiro momento, mas há tendência de crescente judicialização de diferentes aspectos relativos à LGPD e, certamente, a adequação à lei se tornou requisito essencial para manutenção de contratos e celebração de novos negócios, inclusive para pequenas e médias empresas.