Apesar de a Lei Geral de Proteção de Dados (Lei n. 13.709/2018 ou LGPD) ter entrado em vigor em setembro/2020, as sanções nela previstas, aplicáveis por uma Autoridade Nacional[1] aos agentes de tratamento de dados que violem a nova regulamentação, tiveram sua vigência postergada para agosto/2021[2].
A pouco menos de 10 (dez) meses até que isso aconteça, é preciso trazer clareza às instituições não só sobre o novo paradigma regulatório e sobre a cultura a ser incorporada. Também é necessário trazer consciência sobre as consequências do seu não atendimento.
De acordo com a LGPD, eventuais vazamentos, perdas ou usos ilícitos de dados poderão gerar toda a sorte de consequências, que vão muito além das penalidades pecuniárias previstas na Lei n. 13.709/2018.
Além da ampla publicidade ao ilícito – o que gera um forte abalo reputacional à organização –, a Autoridade fiscalizadora pode ainda bloquear o uso dos dados relacionados à infração, determinar sua exclusão ou até mesmo suspender o funcionamento do banco de dados correspondente, o que, dependendo da natureza da atividade da empresa, pode ser ainda mais prejudicial do que o pagamento de uma simples multa.
A título exemplificativo, caso uma empresa possua dados como o principal ativo para manter o seu modelo de negócio ou a sua inteligência de mercado, é possível que, diante dessas sanções, simplesmente não consiga operar adequadamente e enfrente sérias dificuldades.
De todo modo, é importante mencionar que a sujeição a tantas modalidades de sanções, aplicáveis de forma gradativa, isolada ou cumulativa, varia de acordo com as peculiaridades do caso concreto, especialmente com a demonstração, pelo infrator, da adoção de boas práticas para o tratamento de dados pessoais.
Aqueles que demonstrem boa-fé, a adoção “reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados”, bem como a pronta adoção de medidas corretivas, serão menos impactados pelas sanções. Por isso, é imprescindível que as organizações se preparem não só para compreenderem o novo regramento, mas para que possam atuar preventiva e reativamente no caso de eventuais incidentes.
Além disso, como as sanções previstas na LGPD não são exclusivamente pecuniárias, a aplicação de eventuais medidas corretivas traz em seu seio um viés pedagógico, que permite à instituição se conscientizar sobre o adequado tratamento de dados pessoais. Afinal, em todo o seu texto, a LGPD reforça a importância de uma cultura corporativa amparada em políticas de boas práticas e de governança.
Por fim, vale o destaque para o fato de que a própria LGPD estabelece que eventuais violações a direitos dos titulares de dados em relações de consumo permanecem sujeitas às regras de responsabilidade previstas no Código de Defesa do Consumidor (CDC).
Assim, como a LGPD já está em vigor, ainda que as sanções ali previstas não possam ser aplicadas pela ANPD, eventuais violações a direitos podem, de imediato, sujeitar o infrator às responsabilizações impostas por órgãos protetivos dos direitos do consumidor e ensejar a atuação dos titulares de dados e do Ministério Público, enquanto defensor desses direitos.
Exemplo disso foi o caso midiático envolvendo a Cyrela, uma das maiores empresas do ramo imobiliário do Brasil, que se tornou a primeira companhia a ser penalizada sobre os termos da LGPD.
A companhia foi acusada de compartilhar indevidamente dados pessoais e de contato de seus clientes: quem comprava um imóvel da construtora era importunado por ligações de parceiros oferecendo mobília planejada e afins.
Em decisão proferida pela 13ª Vara Cível de São Paulo, a empresa foi condenada a pagar multa indenizatória ao titular dos dados vazados no importe de R$ 10.000,00 (dez mil reais), assediado por diversas instituições financeiras, consórcios, empresas de arquitetura e de mobiliário planejado após ter adquirido imóvel da construtora, sem que tenha consentido expressamente para tanto.
Todos esses elementos reforçam a importância de as empresas iniciarem os seus projetos de conformidade o quanto antes, pois a plena adequação ao novo marco regulatório demanda uma profunda transformação não apenas jurídica ou de segurança da informação, mas principalmente cultural e de governança corporativa.
[1] Autoridade Nacional de Proteção de Dados (ANPD), órgão da administração pública federal, integrante da Presidência da República.
[2] A postergação da vigência das sanções decorreu da edição da Lei n. 14.010/2020. Essa foi uma das iniciativas do governo para auxiliar as empresas no enfrentamento da crise ocasionada pelo coronavírus, por entender que eventuais penalidades pecuniárias previstas na LGPD poderiam gerar um impacto econômico expressivo.