Artigo

Proteção de dados: expectativa versus realidade

Vivemos na era dos dados – e deles somos reféns. Precisamos cedê-los para tudo: de obter trabalho a agendar uma viagem; de ir ao médico a acessar o banco por um aplicativo. A expectativa é que a Lei Geral de Proteção de Dados (LGPD) regulará a forma de coleta, armazenamento, processamento e utilização deles, para evitar o uso indevido, o que inclui de concorrência desleal a influenciar o resultado de uma eleição.
A internet alcançou níveis de sofisticação e disseminação que tornaram necessária a regulação do uso de dados pessoais. Em sua palestra no 1º Fórum Internacional Integrado – Segurança Pública e Segurança Digital, o chefe do FBI no Brasil, David Brassanini, informou haver um ataque cibernético a cada 39 segundos – sendo que um segundo é o tempo gasto para que 75 documentos digitais sejam roubados.
Faltando sete meses para a lei entrar em vigor, a realidade é que muitas empresas ainda não se movimentaram – e o mais preocupante é que muitas pessoas-chave dentro de uma corporação estão literalmente ‘boiando’ sobre o assunto.
Muita gente tem a falsa ilusão de que a LGPD atingirá apenas empresas que trabalham com mailings e banco de dados. Estão totalmente enganadas. Todas as empresas administram dados pessoais de funcionários, fornecedores, prestadores de serviços e clientes. Na Grécia, a PWC BS foi multada em 150 mil euros pela Autoridade de Proteção de Dados local por irregularidades no tratamento de informações de seus empregados.
Ainda que o pagamento de multa seja um exemplo extremo, muitas empresas precisarão prever na contabilidade o DPO (Data Protection Officer), um novo profissional obrigatório na equipe. Ele é o intermediário entre empresa e ANPD (Autoridade Nacional de Proteção de Dados), encarregado de verificar se os dados estão de acordo com a norma. Deve ter conhecimentos técnicos, jurídicos e trabalhar com uma equipe multidisciplinar para verificar todos dados que existem na empresa.
Em outubro de 2019, uma pesquisa junto a empresas brasileiras de diversos setores revelou que 95% dos executivos não sabiam informar qual o estágio atual de adequação da companhia frente à regulação.
Dentre as que procuraram ajuda externa para criar processos de conformidade, 80% afirmaram não ter encontrado profissionais preparados para auxiliá-las na implementação de novas políticas de tratamento de dados e na adequação da empresa às normas da LGPD.
Apenas 29% das empresas entrevistadas afirmaram ter uma política de compliance em vigor, sendo que ela versa apenas sobre proteção de dados de consumidores.
É pouco provável que o mercado brasileiro esteja minimamente adequado às normas da LGPD até a entrada em vigor da lei, e provavelmente as empresas aguardarão a qualificação do mercado profissional (que deve ocorrer com o início das atividades da ANPD) para tomar qualquer decisão sobre um possível processo interno de adequação.
Por fim, vale a pena lembrar que o controlador está sujeito às sanções estabelecidas no artigo 52 da LGPD, aplicáveis quando infringir as normas de proteção de dados, como advertência pela ANPD, com indicação de prazo para adotar medidas corretivas, e multa de até 2% do faturamento do seu último exercício, excluídos os tributos, limitada, no total, a R$ 50 milhões por infração.
Cabe ainda uma multa diária, com limite de R$ 50 milhões por infração; ter a infração publicizada após devidamente apurada e confirmada a sua ocorrência; ter os dados pessoais a que se refere a infração bloqueados até a sua regularização; ou ser obrigado a eliminar dos dados pessoais a que se refere a infração.

Livia Clozel é jornalista