Publicado no Jornal DM Anápolis em agosto de 2021.
A lei geral de proteção de dados, LGPD, foi sancionada em agosto de 2018, e após três anos de prazo para as empresas e profissionais liberais se adequarem, pesquisas apontam que 74% desses controladores ainda não estão adequados.
A adequação completa pode levar vários meses, a depender do porte da empresa, e em virtude da demanda, os custos devem ser inflacionados, o que prejudica principalmente as pequenas empresas, que não costumam nem contar com um setor jurídico e de tecnologia da informação bem estruturados.
Importante deixar claro que ações judiciais e aplicações de multas baseadas no código de defesa do consumidor já estavam sendo aplicadas, e conforme matéria recente da folha de são Paulo, já foram mais de 500 sentenças fundamentadas na LGPD até o último mês de junho, já tendo casos ate de busca e apreensão fundamentada na lei.
Segundo a lei, as punições serão baseadas em diversos fatores, entre eles o grau de comprometimento da empresa para o cumprimento da LGPD.
Neste sentido, para aquelas empresas que deixaram para a ultima hora, a melhor saída neste momento é contratar um bom encarregado de proteção de dados, DPO, com formação jurídica e de tecnologia, a fim iniciar os ajustes necessários, bem como demonstrar para uma possível fiscalização ou denuncia, que a empresa tem concentrado esforços para o devido cumprimento da legislação, que é uma exigência mundial.
Insta salientar que a contratação de um DPO com formações adequadas, de forma terceirizada, para atender empresas de pequeno porte, no geral até 50 funcionários, não fica mais caro que contratar qualquer outro funcionário com remuneração mínima.
Todavia, na hora de contratar um DPO, é importante tomar cuidado. A LGPD não impõe uma formação especifica para o profissional, apenas requer que tenha conhecimentos adequados da área jurídica e de segurança da informação.
Como não existe um selo que o governo emita para informar que a empresa está de acordo com a lei, muitas vezes, o empresário só vai ficar sabendo que contratou um DPO sem capacidade, no momento da autuação, o que quase sempre é tarde demais.
Algumas certificadoras internacionais, certificam profissionais quanto aos conhecimentos necessários para atuar na área, como holandesa EXIN e a americana IAPP. Claro que estas certificações são baseadas em provas, e além de alguma destas certificações, é importante que o profissional tenha formação superior nas duas áreas exigidas, direito e tecnologia, além de experiência.
A LGPD previu um rol variado de sanções administrativas, de natureza admoestativa, pecuniária e restritiva de atividades. Conforme o art. 52 da LGPD, a Autoridade Nacional de Proteção de Dados, ANPD pode aplicar as seguintes sanções administrativas: advertência, com indicação de prazo para adoção de medidas corretivas; multa simples, de até 2% do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 por infração; multa diária, observado o limite total a que se refere o inciso II; publicização da infração após devidamente apurada e confirmada a sua ocorrência; bloqueio dos dados pessoais a que se refere a infração até a sua regularização; eliminação dos dados pessoais a que se refere a infração; suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de seis meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador; suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de seis meses, prorrogável por igual período; proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
A tendência mundial é de multas cada vez mais altas, como forma de obrigar as empresas a tratarem os dados pessoais de clientes e colaboradores com o máximo cuidado possível, como a multa recorde imposta pela União Europeia à Amazon neste mês de julho, de 746 milhões de euros.
Mas ao contrário do que algumas pessoas possam imaginar, cumprir a legislação não impede o funcionamento da empresa nem é algo de custo proibitivo, além de trazer inúmeros benefícios para a empresa, como mitigação de prejuízos causados por incidentes de segurança da informação e fraudes eletrônicas.
Alex Fernando Rodrigues é advogado com segunda graduação em tecnologia da informação, e 20 anos de experiencia em segurança da informação. Possui especialização em engenharia de qualidade, direito empresarial, LGPD, gestão pública e direito público. Possui certificação internacional em proteção de dados pela EXIN, além de gestão de tecnologia da informação, governança em TI e segurança da informação.
Fonte: DM Anápolis