Em que pese investidas de diversos setores para adiar a entrada em vigor da LGPD em 2020, a lei efetivamente passou a vigorar em setembro do citado ano, contudo, teve prorrogado o início da vigência das penalidades previstas, para 01 de agosto de 2021, o que por muitos foi considerado, à época, uma grande vitória, já que “ganhariam” mais um ano para iniciarem os projetos de adequação à legislação.

Ademais, havia entre os mais pessimistas uma estimativa de que a LGPD “não pegaria” e, consequentemente, estaria condenada ao insucesso quando as penalidades da lei finalmente entrassem em vigor.

Contudo, o até então longínquo dia 01 de agosto de 2021 chegou e, mesmo após tantos ataques cibernéticos ocorridos no último ano no Brasil, em diversos segmentos, sejam públicos ou privados, ainda há quem duvide do potencial da LGPD. Somente no Brasil, os vazamentos de dados aumentaram 493%, segundo o trabalho científico publicado em janeiro de 2021 no Journal of Data and Information Quality¹.

Mesmo antes da entrada em vigor da LGPD, os casos de violação de dados pessoais já eram previstos pelo Código de Defesa do Consumidor e pela Lei do Marco Civil da Internet, sem esquecer da proteção constitucional à privacidade e à intimidade, que são enquadradas em nossa Constituição Federal como direitos fundamentais, denunciando, assim, que há muito tempo tais direitos já eram tutelados pelo Poder Judiciário.

Desse modo, o que efetivamente soa como novidade é a necessidade da conscientização geral sobre os direitos à proteção aos dados pessoais, já que, antes mesmo da entrada em vigor da LGPD, tais direitos já constavam de nossa legislação até então vigente.

Embora as tão temidas penalidades da LGPD estejam em vigor, o cuidado para com a coleta, armazenamento, uso e compartilhamento de dados de pessoas físicas, com o intuito de garantir a privacidade, a segurança e transparência no tratamento de tais dados, ainda está longe de se tornar uma realidade no Brasil.

Segundo um levantamento realizado pela ICTS Protiviti, menos de 30% das organizações iniciaram o mapeamento dos dados para gerenciar seus riscos, bem como aproximadamente 84% das companhias brasileiras seguem sem uma diretriz clara sobre a adequação².

Ainda há quem venda a ideia de que a mera atualização da política de privacidade, a inserção de opt-in e o aviso do uso de cookies em sites seja suficiente para justificar a adequação. Todavia, esse pensamento é completamente equivocado, visto que o trabalho para adequação à legislação deve envolver inúmeras outras medidas, como políticas internas de proteção de dados, ações mitigatórias para redução de riscos, além da adequação documental de instrumentos que contenham dados pessoais, podendo envolver, assim, vários departamentos de uma empresa ou órgão público.

Com uma Autoridade Nacional de Proteção de Dados – ANPD atuante e efetivamente comprometida em regulamentar e aplicar a LGPD, ainda que com um intuito educativo e preventivo nesse primeiro momento, em que a cultura da proteção de dados está a passos lentos sendo disseminada no Brasil, é certo que punições às organizações que deixarem vulneráveis os dados pessoais de clientes, parceiros e colaboradores, em breve passarão a ser aplicadas.

As penalidades administrativas envolvem simples advertências; multas simples ou diárias de até 2% do faturamento da pessoa jurídica limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração; além do bloqueio ou eliminação do banco de dados pessoais; e, ainda, talvez a mais grave de todas as penalidades, o dever de publicização da infração em mídias eletrônicas e jornais de grande circulação, o que pode gerar danos inestimáveis à imagem da organização, bem como o risco de perda de reputação de uma marca consolidada no mercado.

Para a aplicação das penalidades, serão utilizados como critérios: (i) a gravidade e a natureza das infrações e direitos envolvidos; (ii) a boa-fé e a cooperação do infrator; (iii) a reincidência da prática; (iv) a condição econômica do infrator e o grau do dano praticado; e (v) a adoção de política de boas práticas e medidas internas para minimizar o dano.

Outro ponto importante é que contratos sólidos entre empresas parceiras podem ser colocados em xeque, caso uma das empresas esteja comprometida com as regras da LGPD enquanto a outra não tenha qualquer preocupação nesse tocante. Ou seja, aquela empresa efetivamente cautelosa para com a proteção de dados pessoais poderá manifestar claro desinteresse em seguir com uma parceria da qual o outro lado não tem a mesma preocupação, haja vista a responsabilidade solidária para eventual vazamento de dados compartilhados entre as empresas parceiras.

Diante desse cenário, ainda que consumidores e organizações estejam se familiarizando com as regras, direitos e deveres da LGPD, bem como não se saiba ao certo como se sedimentará sua aplicação, visto que ainda vem sendo regulamentada, há a certeza de que a lei veio para ficar e, independentemente do rol de penalidades previstas pela lei, o valor positivo decorrente do cuidado com a privacidade e a proteção de dados é infinitamente maior, pois destaca as empresas em relação aos seus concorrentes de mercado e fomenta o engajamento dos próprios colaboradores.

¹Disponível em https://dl.acm.org/doi/abs/10.1145/3439873

²Disponível em https://icts.com.br/icts-news/entrada-em-vigor-da-lgpd-acende-alerta-nas-empresas