Wilson Sales Belchior, sócio do RMS Advogados e conselheiro Federal da OAB
Aplicação de penalidades entra em vigor no próximo domingo, 1º de agosto. Empresas precisam priorizar a jornada de adequação à nova legislação sobre dados pessoais, adotando medidas efetivas para mitigação de riscos.
A Lei Geral de Proteção de Dados Pessoais (LGPD) já está em vigor desde setembro de 2020. Porém, o fato de parte da lei que prevê as sanções ainda não estar valendo passava uma falsa impressão às empresas de que ainda não precisariam se preocupar tanto com a nova regulação.
“Com a entrada em vigor das sanções administrativas no dia 1º de agosto, provavelmente as empresas se preocuparão mais em demonstrar compliance com a LGPD”, conforme avalia a advogada Iara Peixoto Melo, coordenadora da área de Proteção de Dados e Direito Digital do Chenut Oliveira Santiago Advogados. Ela alerta que a Autoridade Nacional de Proteção de Dados (ANPD) passará a fiscalizar e autuar as empresas que estiverem em desacordo com a legislação.
De seu lado, a advogada Flávia Bortolini, especialista em Direito Digital e Proteção de Dados e associada do Damiani Sociedade de Advogados, afirma que na prática o que muda é que a ANPD poderá multar as empresas que não estiverem adequadas.
“As multas podem chegar a R$ 50 milhões, dependendo da gravidade do ocorrido. As empresas já deveriam estar adequadas, uma vez que, em caso de vazamento de dados de usuários, podem responder pelos danos que causarem”, ressalta ela.
Luiz Felipe Rosa Ramos, co-head de Proteção de Dados da Advocacia José Del Chiaro, alerta que as empresas precisam dar prioridade à jornada de adequação à LGPD. “Em especial, estabelecer procedimentos para atender aos direitos dos titulares, como o direito de acessar os seus dados pessoais e solicitar a eliminação de dados tratados em excesso”, assinala.
Precisam, ainda, prossegue o especialista, “nomear um encarregado e estabelecer um protocolo de reação a incidentes de segurança. Um programa de adequação robusto não pode evitar o amplo mapeamento dos tratamentos realizados pela organização e a elaboração de uma política de privacidade, com treinamentos específicos”.
Por sua vez, Maria Cibele Crepaldi Affonso dos Santos, sócia gestora do Costa Tavares Paes Advogados, diz que é indispensável observar os princípios definidos na LGPD. “Por exemplo, a coleta de dados deve se limitar àqueles para a finalidade a que se destinam. Se não é necessário coletar a data de nascimento do consumidor no cadastro que ele fizer para aquisição de produtos no e-commerce, esse é um dado que não deve ser coletado”, ilustra ela.
“Da mesma forma, é preciso ter precaução com o envio e o compartilhamento dos dados para terceiros: se a empresa não tiver obrigação legal ou motivo, e não informar na sua política sobre esse compartilhamento, não pode compartilhar dados com terceiros”, pondera.
Ainda segundo Maria Cibele, “é preciso, também, certificar-se de que, caso o titular dos dados solicite a exclusão ou alteração dessas informações da base de registros da empresa, é necessário que ela tenha condição de fazer o que foi solicitado. E mais: apresentar prova do que foi feito, se necessário”.
Processos de negócios
No entender de Wilson Sales Belchior, sócio do RMS Advogados e conselheiro Federal da OAB, um ponto de partida interessante é conhecer as operações que estruturam os processos do negócio.
“A partir disso, se torna possível organizar mecanismos para mitigar riscos, atender às exigências da LGPD e adotar boas práticas. Certamente essa atitude será menos custosa quando comparada à exigência de reparar todos os efeitos danosos produzidos por uma eventual infração à legislação de privacidade”, ressalta.
Por fim, Renato Valença, especialista em LGPD do Peixoto & Cury Advogados, diz que as empresas que ainda não deram início ao seu programa de governança em privacidade de dados devem fazer isso o mais rápido possível.
“É comum ouvir executivos dizerem ‘minha empresa é B2B, por isso não preciso me preocupar’. Isso não é uma verdade. Quase toda organização lida com dados pessoais, nem que sejam os dados das pessoas internas (empregados), e as atuais práticas precisam passar por uma avaliação. Se questionadas, as empresas precisam ter condições de provar que possuem um programa de conformidade adequado às suas atividades, baseado em políticas e regras de boas práticas”, conclui.