O Estado de São Paulo, n. 46673, 31/07/2021. Economia p.B11
Guilherme Guerra
Giovanna Wolf
A Lei Geral de Proteção de Dados (LGPD), sancionada em agosto de 2018, entra em vigência completa a partir de amanhã: autoridades poderão advertir empresas e órgãos públicos e aplicar multas, caso haja desrespeito das normas previstas na legislação. Além das advertências, as penalidades podem chegar a 2% do faturamento das companhias, com limite de R$ 50 milhões – especialistas, porém, afirmam que as mudanças não acontecerão do dia para a noite.
Os parâmetros gerais para aplicação das multas constam nos artigos 52, 53 e 54 da LGPD. Os critérios poderão ser utilizados contra "agentes de tratamento de dados" (ou seja, qualquer companhia ou órgão público que armazene e manipule informações digitais de cidadãos) que desrespeitarem a legislação nacional, que estava em vigor desde 2020 em período de adaptação até então.
As penalidades poderão ser aplicadas pela Autoridade Nacional de Proteção de Dados (ANPD), entidade criada pela LGPD para regular e fiscalizar o assunto no País, pelos órgãos de defesa do consumidor (como o Procon) e também pela Justiça brasileira. Cidadãos poderão fazer denúncias em casos de desrespeito ao tratamento de dados, permitindo que a situação seja apurada.
Comprovadas as infrações, autoridades poderão aplicar advertências. Na "bronca", a ANPD pode indicar um prazo para que seja corrigida a falha que permitiu o vazamento, por exemplo. Também é possível bloquear os dados pessoais de quem foi atingido, assim como impedir que a companhia acesse parcialmente o banco de dados por até seis meses no máximo (prorrogável por igual período) – dando tempo para que seja consertado o erro.
O bolso das companhias também pode ser alvo de penalidades, se assim decidirem as autoridades. Além da multa simples, realizada em uma única vez, há a opção de multa diária, também sob o teto de R$ 50 milhões, aplicada até que a empresa corrija a falha.
A LGPD sinaliza alguns critérios a serem seguidos para definir qual sanção aplicar em cada caso. Entre os parâmetros citados, estão a gravidade e a natureza das infrações e dos direitos pessoais afetados, a condição econômica do infrator, a cooperação, a reincidência e a adoção de boas práticas e governança.
Porém, especialistas afirmam que ainda serão necessárias regras mais claras – as autoridades, conforme a LGPD prevê, não definiram as diretrizes futuras da fiscalização.
"Em algum momento, a ANPD terá de redigir um documento com a metodologia para as sanções", explica o professor Danilo Doneda, do Instituto Brasiliense de Direito Público.
A ANPD já indicou que não pretende criar uma "indústria de multas" e que planeja trabalhar junto às empresas para formar uma cultura de dados no País. "Queremos que o titular de dados entenda seus direitos, que as pequenas e grandes empresas possam adequar suas estruturas", afirmou o presidente da Autoridade, o coronel Waldemar Gonçalves, em evento promovido pela Federação Brasileira de Bancos (Febraban) em junho. "Não vamos gerar quebradeira de empresas nem a ideia coercitiva de repressão." Procurada pela reportagem, a ANPD não respondeu a pedidos de comentário.
Para a advogada Flávia Lefèvre, o vácuo regulatório deixa o cenário turvo. "Vão começar a ter as ações na Justiça com interpretações diferentes no Judiciário, sendo que o ideal era que todos esses organismos estivessem sob uma base regulatória coerente, até para dar segurança jurídica", explica. "Estabelecer a quantidade de regulamentos previstos em lei não é do dia para a noite: precisa abrir consulta pública. Não vamos conseguir resolver isso às vésperas da vigência completa."