Na semana passada a decisão do Senado Federal assustou à todos ao votar pela conversão da Medida Provisória nº 959/2020 no Projeto de Lei de Conversão (PLC) 34/2020, entretanto divergindo do entendimento da Câmara dos Deputados no que tange à data de entrada em vigor da Lei Geral de Proteção de Dados (LGPD), que estava programada pela Câmara para 31 de dezembro deste ano. Neste sentido, se sancionada pelo Presidente da República, no prazo de até 15 dias úteis, a LGPD terá vigência imediata, ainda que a data para início de vigência de aplicação da sanções por ela trazidas não tenham sofrido alteração, ou seja, entrarão em vigor apenas em 1º de agosto de 2021.
Ademais, na mesma data também houve a publicação do Decreto nº 10.474, que aprovou a estrutura regimental e o quadro demonstrativo dos cargos em comissão e das funções de confiança da Autoridade Nacional de Proteção de Dados (ANPD), que desempenhará funções normativa, fiscalizatória e sancionatória, importantes inclusive para balizarem a forma de atuação das empresas.
Desde que a Lei foi publicada, em agosto de 2018, poucos procuraram se adequar à norma, não somente pela “calma” na demora do trâmite no Congresso e diversas discussões quanto à sua prorrogação, mas também pelas dificuldades para tanto. Isso porque, ainda que o Decreto 10.474, acima mencionado, tenha aprovado a estrutura da ANPD, existem diversas lacunas na Lei que permanecem sem resolução, como por exemplo as hipóteses de dispensa da indicação de encarregado pelo tratamento de dados pessoais (artigo 41, parágrafo 3º); a edição de normas específicas para microempresas e empresas de pequeno porte (Artigo 55-J, inciso XVIII); os prazos para atendimento dos requerimentos dos titulares (artigo 18), entre outros.
Entretanto, tal discussão não altera a realidade dos fatos: os riscos trazidos às startups, ao garantir a proteção aos dados coletados, tratados e armazenados, são muito altos, e o descumprimento à Lei poderá gerar sanções que podem caracterizar inclusive o encerramento do negócio, não somente por aquelas trazidas pela própria LGPD (que, reitera-se, entrarão em vigor a partir de agosto de 2021), mas também pelo fato de que a aplicação da Lei já pode ser cobrada judicialmente ao ter sua vigência iniciada, em função da inafastabilidade do Poder Judiciário, princípio constitucional. Referidos riscos tratados pela LGPD derivam das ameaças aos dados coletados em função do valor específico que ele representa, podendo levar ao seu uso indevido, sua divulgação não autorizada ou a sua manipulação com objetivos prejudiciais ao seu titular.
Em qualquer empresa há dados armazenados, ainda que simplesmente de seus funcionários, independentemente de seu porte, sem os quais não poderia funcionar. É nesse processo que estão os riscos: a coleta, armazenamento e tratamento de informação sempre geram algum nível de vulnerabilidade, sendo o componente humano um fator importante, uma vez que podem falhar ou executar de forma indevida um processo de tratamento de dados, gerando grandes consequências à empresa, quais sejam, as sanções legais.
A aplicação de tais sanções, tratadas no artigo 52 da LGPD, ainda são incertas, uma vez que não sabemos a forma de atuação efetiva do órgão fiscalizador (ANPD). Entretanto, sabemos que as sanções em si podem variar desde advertência simples, com prazo para adoção de medidas corretivas até multa de até 2% (dois por cento) do faturamento da pessoa jurídica, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração.
Dentre outras sanções estão: (i) a publicização da infração após devidamente apurada e confirmada a sua ocorrência; (ii) o bloqueio dos dados pessoais a que se refere a infração até a sua regularização; (iii) a eliminação dos dados pessoais a que se refere a infração; (iv) a suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador; (v) a suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período; e (vi) a proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados. Ou seja, o prejuízo à empresa poderá ser enorme, inclusive culminando em seu fechamento.
Ainda, nos termos do parágrafo primeiro do artigo supramencionado, a Autoridade Nacional irá aplicar as sanções de acordo com as peculiaridades do caso concreto e considerando os parâmetros trazidos no parágrafo, como a gravidade e natureza da infração; a boa-fé do infrator; a vantagem auferida ou pretendida pelo infrator; a reincidência; entre outros. Neste termos, ainda é incerto saber como a Autoridade irá parametrizar sua análise e aplicar as sanções.
Neste sentido, sabemos que é praticamente impossível eliminar integralmente os riscos mencionados acima, mas as empresas certamente podem criar mecanismos de segurança internos, a fim de minimizar os prejuízos caso ocorra algum descumprimento às legislações. Ou seja, é importantíssimo sempre manter em seu monitoramento as referidas ameaças, uma vez que saberá quais são de acordo com seu modelo de negócio, uso das informações armazenadas, com quem compartilha, como as utiliza, etc., bem como criando um ambiente de trabalho seguro, podendo identificar rapidamente um possível descumprimento e ter a possibilidade de tomar as medidas cabíveis imediatamente, a fim de conter os danos provocados ou minimizá-los ao máximo.
* Artigo em parceria com a BONUZ , elaborado por Andre Fisman.