Image for post
Image for post
Thiago Bento | DPO Office | everis Brasil

Adequação à Proteção de Dados— Agora ou nunca?

Desde a adequação a GDPR em 2018, empresas, pessoas e governos vem se preocupando com a proteção de dados privados e adequações as normas de cada país. Nos Estados Unidos, a CCPPA (Lei de Privacidade dos Consumidores da Califórnia) já entrou em vigor em 2020. No Brasil a Lei Geral de Proteção de Dados começa a valer em agosto de 2020, e muitas empresas estão correndo em busca da adequação. Uma das razões para a preocupação é a possibilidade de pesadas sanções. A Lei prevê que as empresas sejam advertidas, penalizadas com a publicidade de sua infração e mesmo multadas em até 2% de seu faturamento anual, limitado à cinquenta milhões de reais.

Não é possível dizer, por enquanto no Brasil, como a Autoridade Nacional de Proteção de Dados, órgão responsável pela fiscalização e aplicação das sanções, se comportará, se aplicará grandes e pesadas multas desde o início ou se começará a fiscalização com advertências e outras sanções mais leves.

Podemos ter como parâmetro a aplicação da GDPR (General Data Protection Regulation), lei de proteção de dados aplicável na União Europeia e grande inspiradora em textos legais pelo mundo, que passou a vigorar em 2018, e em seu primeiro ano de vigência, foi responsável por aproximadamente 56 milhões de euros[1] em multas, já sem possibilidade de recurso. É muito interessante perceber que os efeitos da GDPR não se limitaram às empresas que baseiam seus negócios no tratamento de dados; todos os segmentos e tamanhos de companhias foram fiscalizados:

Dessa análise, poderíamos esperar um cenário de risco moderado a alto para as atividades das empresas brasileiras a partir de agosto, mas no fim de 2019, os prognósticos ficaram mais complicados.

Foi derrubado um veto do presidente Jair Bolsonaro, e passaram a integrar o artigo 52 da Lei Geral de Proteção de Dados os incisos X, XI e XII:

Art. 52. Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas nesta Lei, ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional:

(…)

X — suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;

XI — suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período;

XII — proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.

Em termos gerais, estes incisos trazem novas sanções, que possibilitam à Autoridade Nacional de Proteção de Dados suspender o funcionamento do banco de dados ao qual se refere uma infração, suspender a atividade de tratamento relacionada a uma infração ou mesmo proibir parcial ou totalmente o exercício de atividades de tratamento de dados.

Não existe punição semelhante prevista na GDPR, por uma boa razão: A proibição total do exercício de atividades relacionadas ao tratamento de dados, numa economia crescentemente baseada no tratamento de dados, pode inviabilizar a continuidade de negócios, trazendo notória insegurança jurídica.

Conquanto exista muita discussão sobre a legalidade e constitucionalidade dessas novas sanções, e ainda que as novas sanções só possam ser aplicadas em casos de reincidência sobre o caso concreto, a verdade é que elas constituem o texto da LGPD agora, e enquanto não forem reformuladas ou modificadas, as empresas devem considerá-las como possibilidade e devem estar preparadas.

Atualmente, estima-se que 84%[2] das empresas no Brasil não estejam adequadas ou perseguindo a adequação à Lei Geral de Proteção de Dados. A recente mudança substancial nas sanções que discutimos evidencia quão perigoso é deixar a adequação para a última hora. A empresa que não se adequar logo pode não ter tempo hábil para adaptar-se às imprevisíveis mudanças que o nosso sistema legislativo impõe, e assim, assume o risco de encerrar suas atividades.

Outros países da América Latina, também estão atentos as evoluções da GDPR e da LGPD, muitos já possuíam suas leis de proteção de dados e seus devidos órgãos regulamentadores, como por exemplo a Argentina, México, Peru, Colômbia e Chile, que regularmente se encontram no Congresso Ibero-Americano de Direito e Informática para debater sobre o tema.

Podemos constatar que a proteção da privacidade de dados será uma preocupação global nos próximos anos, fazendo com que empresas encarem a necessidade de mudar a forma de coletar e administrar dados do usuário, transformando o que hoje é adequação, em um padrão comum aos processos.

As empresas ainda vivem uma longa jornada para que isso seja realidade, mas na everis essa realidade já existe, e podemos te ajudar nesta transformação.

[1] https://iapp.org/media/pdf/resource_center/GDPR_at_One_IAPPWhitePaper.pdf

[2] https://noomis.febraban.org.br/especialista/noomisblog/84-das-empresas-nao-estao-prontas-para-proteger-dados-pessoais

Written by

Exponential intelligence for exponential companies

Get the Medium app

A button that says 'Download on the App Store', and if clicked it will lead you to the iOS App store
A button that says 'Get it on, Google Play', and if clicked it will lead you to the Google Play store