Pesquisa revela despreparo de empresas brasileiras para se adequarem às exigências da LGPD
Fernanda Galvão e Leila Bitencourt
Em 2018 foi promulgada a Lei Geral de Proteção de Dados Pessoais, a Lei Federal nº 13.709/2018 (“LGPD”) (1), com o objetivo de estabelecer normas sobre o tratamento de dados pessoais, seja por pessoa jurídica ou natural, de direito público ou privado. Desde então, essa lei foi alterada pela Medida Provisória nº 869/2018 (2) e pela Lei Federal nº 13.853/2019 (3).
À exceção de artigos que tratam sobre a criação da Autoridade Nacional de Dados e o Conselho Nacional de Proteção de Dados, as determinações da LGPD entrarão em vigor no dia 14 de agosto de 2020.
Isso significa que, a partir da referida data, todas as determinações da LGPD serão aplicadas quando o tratamento de dados ocorra no território nacional, no caso de os titulares dos dados estarem no Brasil ou, também, na hipótese de a coleta de dados se relacionar a serviços prestados ou fornecimento de bens em território brasileiro.
Assim, questões como a exigência do prévio consentimento do titular dos dados pessoais, segurança e sigilo de dados, obrigações de cada sujeito envolvido no tratamento dessas informações, responsabilidade de ressarcir todos os danos gerados, direitos do titular dos dados (como exclusão, portabilidade etc.), determinações especiais sobre tratamento de dados de criança e adolescentes e tratamento de dados sensíveis, entre outras, passam a integrar o dia a dia de qualquer empresa que faça qualquer operação de tratamento de dados pessoais.
Aliás, a LGPD traz em seu artigo 5º, inciso X, mais de 20 (vinte) (4) verbos para definir o que é uma operação de tratamento de dados pessoais aos olhos do legislador. O tratamento de dados vai desde a coleta, até a produção, recepção, classificação, arquivamento, eliminação de dados, entre outros. Vê-se, pois, que diante da abrangência do conceito de tratamento de dados é certo que os preceitos da LGPD afetarão todas as empresas nacionais de alguma forma.
Em caso de descumprimento das determinações da LGPD há uma série de sanções, como advertência com indicação de prazo para adoção de medidas corretivas, divulgação da infração, eliminação dos dados pessoais que foram tratados em desconformidade com as determinações da LGPD.
Nesse contexto, destaca-se a penalidade de multa de 2% do faturamento da pessoa jurídica de direito privado, limitada, no total, a R$ 50.000.000,00, quantia esta aplicável por infração e cujo valor a ser pago poderá ser, inclusive, maior em razão da falta de limitação do teto do valor da multa contida no Marco Civil da Internet (Lei Federal nº 12.965/2014) (5) (6).
Apesar de todas essas consequências em razão da falta de adequação dos negócios aos preceitos da LGPD, a recente pesquisa divulgada pela ICTS Protiviti revela que 84% das empresas brasileiras não providenciaram mudanças em suas normas internas a fim de atender as previsões contidas na LGPD. A pesquisa foi feita com 104 organizações de 24 segmentos distintos que interagem com o Portal LGPD. O estudo mostra também que apenas 12,5% das empresas providenciaram o mapeamento dos riscos de infração à proteção de dados, a primeira medida necessária para que possa haver de fato adequação à LGPD.
O cenário de falta de preparação das empresas brasileiras é reforçado também pelo fato de apenas 17,5% destas terem respondido que estão aptas a realizarem a gestão dos dados conforme as normas que tratam sobre privacidade de dados de seus fornecedores e terceiros.
Assim, ainda diante os 41,3% das respostas no sentido de que a política e a elaboração de normas internas foram criadas nas empresas, especialistas alertam que tal medida se mostra insuficiente, pois, se não for conjugada com ações efetivas que atuem em prol de colocar em prática essas previsões, pode gerar vários impactos nos negócios, os quais muitas vezes não estão sendo levados em consideração pelos empresários.
Portanto, a análise dos resultados da pesquisa demonstra que a atuação das empresas para cumprir de fato as previsões contidas na LGPD é relevante não só para que haja preparo para as consequências geradas por tais medidas, mas também para evitar a aplicação de penalidades à empresa infratora e impactos negativos que andam junto com o tratamento de dados em desconformidade com as regras legais, como dano à sua imagem e diminuição de confiabilidade de seus clientes.
Por isso, é indispensável consultar uma equipe especializada para esclarecer questões sobre a adequação dos negócios à LGPD. Mais informações sobre o tema podem ser obtidas com as equipes do VLF Advogados.
Fernanda Galvão
Sócia-executiva da Equipe de Consultoria do VLF Advogados
Leila Bitencourt
Advogada plena da Equipe de Consultoria do VLF Advogados
(1) BRASIL. LEI Nº 13.709, DE 14 DE AGOSTO DE 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm. Acesso em: 17 dez. 2019.
(2) BRASIL. MEDIDA PROVISÓRIA Nº 869, DE 27 DE DEZEMBRO DE 2018. Altera a Lei nº 13.709, de 14 de agosto de 2018, para dispor sobre a proteção de dados pessoais e para criar a Autoridade Nacional de Proteção de Dados, e dá outras providências. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/Mpv/mpv869.htm. Acesso em: 18 dez. 2019.
(3) BRASIL. LEI Nº 13.853, DE 8 DE JULHO DE 2019. Altera a Lei nº 13.709, de 14 de agosto de 2018, para dispor sobre a proteção de dados pessoais e para criar a Autoridade Nacional de Proteção de Dados; e dá outras providências. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2019-2022/2019/lei/L13853.htm. Acesso em: 17 dez. 2019.
(4) Tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
(5) BRASIL. LEI Nº 12.965.853, DE 23 DE ABRIL DE 2014. Estabelece princípios, garantias, direitos e deveres para o uso da Internet no Brasil. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2014/lei/l12965.htm. Acesso em: 17 dez. 2019.
(6) PARENTONI, Leonardo; SOUZA LIMA, Henrique Cunha. Protection of Personal Data in Brazil: Internal Antinomies and International Aspects. International Conference on Industry 4.0 and Artificial Intelligence Technologies – INAIT 2019. Disponível em: https://papers.ssrn.com/sol3/papers.cfm?abstract_id=3362897. Acesso em: 18 dez. 2019.
