No dia 1° de agosto, a Lei Geral de Proteção de Dados (LGPD) entrou definitivamente em vigor. Passaram-se três anos até esse momento: promulgada em 14/08/2018, começou a valer em sua quase totalidade tão somente em 18/09/2020. No entanto, a partir deste mês os dispositivos referentes a sanções administrativas podem ser aplicados pela Autoridade Nacional de Proteção de Dados (ANPD).
Fruto da pretensão brasileira em ingressar na Organização para a Cooperação e Desenvolvimento Econômico, a LGPD tem como um de seus escopos atender de forma equilibrada e harmônica os interesses tanto de titulares de dados quanto de empresas, dentro de um mundo digital em que informação é fonte valiosa para diversos negócios e interações sociais. No caso dos titulares de dados, busca-se garantir princípios como privacidade, segurança, autodeterminação e transparência no uso de suas informações pessoais. Em relação às empresas, a lei torna viável o empreendimento, desde que de forma ética e responsiva.
Os empreendedores que enxergarem a lei não como um obstáculo burocrático estatal, mas como uma janela de oportunidades comerciais, poderão destacar-se em sua área de atuação, aprimorar e desenvolver novos produtos, promover uma boa imagem no mercado, e evitar riscos jurídicos como processos e queixas por titulares de dados, ANPD e Procon. Em resumo: boa governança da informação de clientes tende a consolidar laços e a impulsionar inovação. Logo, uma mudança de atitude será um diferencial no jogo da concorrência.
Conforme exposto acima, passaram-se três anos desde sua promulgação, período em que se podia antecipar a adequação à lei. Agora, depois que os dispositivos sancionatórios entraram em vigor, o procedimento de conformidade é imprescindível e urgente: as sanções consistem desde uma simples advertência, a multa de até 2% do faturamento da empresa no seu último exercício por infração cometida, multa diária até o valor de R$ 50.000.000,00, publicização da infração, bloqueio de dados pessoais até a regularização da informação, e eliminação de dados pessoais referente à infração. Pela lista, observa-se que a omissão em se ajustar pode impactar profundamente a atividade empresarial.
Para escapar desse cenário, o empreendedor deverá desenvolver uma satisfatória gestão da informação, que se desdobrará tanto num canal de comunicação para o titular requerer informações e demais direitos sobre seus dados, quanto em nomeação de um encarregado pelo tratamento de dados pessoais, elaboração de boas regras de governança e de boas práticas, e adoção de medidas de segurança e anonimização para proteção contra possíveis vazamentos e outras condutas ilícitas.
Por isso, inicialmente, recomenda-se obter ajuda especializada para um plano de ação que envolva diagnóstico e mapeamento do fluxo e do tipo de dado coletado pela empresa, readequação dos contratos com base na lei, e relatório com os potenciais riscos da atividade para os titulares de dados e as formas de mitigação desses riscos.
Por João Lucas Sacchi de Oliveira (advogado); Rachel Maria Sacchi de Oliveira (advogada); e Caio César Vieira Machado (advogado do Filhorini Advogados Associados).
