30/07/2021 - 11:30
As sanções da Lei Geral de Proteção de Dados (LGPD) serão aplicadas a partir deste domingo, 1º de agosto. Ou não, como disse o cantor e compositor Walter Franco (1945-2019) em seu célebre álbum de 1973 intitulado com essa expressão contraditória. Há mais dúvidas do que respostas sobre as aplicações de advertências e multas – de até 2% do faturamento, limitadas a R$ 50 milhões por infração – às empresas que tiverem vazados os dados pessoais de clientes ou usarem essas informações de maneira ilegal, como vendê-las para outras companhias. Segundo o Plano Estratégico da Autoridade Nacional de Proteção de Dados (ANPD), responsável pela fiscalização e autuação das punições, o prazo é de até 2 anos para detectar infrações à LGPD e para elaborar guias e recomendações sobre proteção de dados. A curto prazo – até 12 meses –, o planejamento é promover eventos de capacitação e dialogar com entidades e autoridades do setor. A depender do documento divulgado pela ANPD em fevereiro acerca das ações que serão colocadas em prática até 2023, a LGPD começa sua fase de sanções com muita conversa e pouca efetividade.
Outro ponto que mostra a tendência de que a LGPD terá atuação branda neste começo é o fato de que “aprimorar as condições para o cumprimento das competências legais” é o último dos três objetivos que compõem o Plano Estratégico da ANPD, que tem como diretor-presidente Waldemar Gonçalves Ortunho Junior e é ligada à Presidência da República. O primeiro objetivo é promover o fortalecimento da cultura de proteção de dados pessoais e o segundo, estabelecer ambiente normativo eficaz para a proteção de dados pessoais.
Soma-se a essa situação a falta de preparo das empresas para se enquadrarem à LGPD. Segundo levantamento da ICTS Protiviti, consultoria de gestão de riscos e compliance, 84% das companhias consultadas seguem sem uma diretriz clara sobre a adequação à legislação. Com a já tradicional bagunça das agências regulatórias e as empresas perdidas em meio a mais uma regra a ser cumprida – importante, diga-se –, o resultado é que a LGPD é uma incógnita, apesar de especialistas, tanto críticos quanto favoráveis, serem uníssonos em afirmar que a lei para proteger dados é necessária. Para Amanda Israel Fraga, coordenadora de Direito Digital da Russell Bedford, especializada em prestação de serviços de auditoria, perícia e assessoria, normas para armazenamento e uso de informações pessoais são “tendência mundial, já estão amadurecidas na Europa e nos Estados Unidos, e virá com força também no Brasil”, afirmou. A advogada aponta ainda que algumas sanções pecuniárias podem ser aplicadas inicialmente para “servir de exemplo” ao mercado, mas a expectativa é de que ações educativas serão mais propensas. “Vale dizer que multa também tem caráter pedagógico.”
“Hoje a Visa atende aos requisitos, mas não significa que não precisamos fazer mais nada. A vigilância é constante” Priscilla silva diretora jurídica da Visa no Brasil.
Victor Hugo Pereira Gonçalves, doutor em Direito Comercial pela Faculdade de Direito da USP, e presidente da Sigilo, associação sem fins lucrativos criada para atuar na proteção de dados pessoais, avalia que a atuação do próprio cidadão detentor titular dos dados será fundamental para a LGPD dar certo. “As empresas não estão preparadas e a fiscalização está nas mãos da ANPD, ligada diretamente ao governo federal, sem autonomia. Somos nós, clientes, que teremos de estar atentos ao que estão fazendo com nossas informações.” Foi assim até agora e houve poucos avanços, mesmo diante das regras sobre proteção de dados presentes na Constituição Federal de 1998 (artigo 5º, incisos 10, 11, 12 e 72) e no Marco Civil da Internet de 2014 (artigo 7º, incisos 7 a 10). “O Estado se omitiu durante todo esse tempo, o Judiciário não tem capacidade de análise e o titular do dado não tem consciência e não luta por seus direitos”, disse sobre esses ordenamentos não terem causado efeito positivo.
EMPRESAS Enquanto pairam dúvidas, grandes empresas trabalham para se adequar à LGPD. Primeiro para fugirem das sanções. Segundo, para evitarem invasões e sequestros de dados – com consequente pedido de resgate de valor menor à multa que seria aplicada caso as informações sejam expostas –, situação que tem sido frequente nos Estados Unidos, por exemplo, onde recentemente uma fornecedora da Apple passou por isso.
Com 65 mil transações por segundo e 3,5 bilhões de cartões emitidos no mundo, a gigante da tecnologia Visa afirma que implementou no Brasil as exigências da LGPD antes mesmo de a legislação entrar em vigor, no ano passado. Com presença em mais de 200 países, a companhia tem utilizado como padrão em todas as suas operações as regras do Regulamento Geral Sobre a Proteção de Dados (GDPR, em inglês), espécie de LGPD da comunidade europeia. “Mais do que uma legislação, é algo que vai trazer uma robustez de conhecimento tanto para empresas quanto para pessoas físicas.
É um amadurecimento de parte a parte”, disse Priscilla Silva, diretora jurídica da Visa no Brasil.
“O dado é do paciente e não da instituição. Nosso sistema garante o consentimento do trânsito das informações” Raimundo Cardoso diretor da área de saúde da Intersystems.
A executiva afirmou que, ainda que a companhia já esteja aderente à lei brasileira desde 2019, o plano de aprimoramento é regular. “Hoje a Visa atende aos requisitos, mas não significa que não precisamos fazer mais nada. A vigilância é constante”, afirmou. A LGPD, na análise de Priscilla, também traz mais clareza quanto à responsabilidade de vazamentos de dados de um cartão de crédito, por exemplo. Na maioria das atividades, a Visa atua como operadora, prestando serviço a controladores das informações, normalmente instituições bancárias. “Não seria legítimo colocar todo mundo que teve acesso a esse dado como responsável. Precisa checar a origem do incidente e verificar em que momento houve negligência”, disse a diretora da Visa.
A lei de proteção de dados também garante a privacidade das informações na área da saúde. Segundo Raimundo Nonato Cardoso, diretor da área de saúde no Brasil da empresa americana de tecnologia InterSystems, unidades hospitalares como Sírio-Libanês, Hospital Israelita Albert Einstein, Beneficência Portuguesa e Hospital A.C. Camargo usam uma plataforma da companhia que garante a obtenção da autorização do usuário para que dados demográficos e clínicos possam trafegar em vários sistemas. “O dado é do paciente e não das instituições. Nosso sistema garante o consentimento do trânsito das informações, ajudando na gestão da aderência à LGPD.”. O dirigente da empresa que tem atuação em mais de 100 países explica que a regra permite o bloqueio, por parte do paciente, de parte de informações a qualquer momento, mesmo após consentimento. “Nós precisamos garantir que isso aconteça”, afirmou. As garantias vão até acontecer um vazamento inesperado. Ou não, já dizia Walter Franco.
