Mesmo com a Lei Geral de Proteção de Dados Pessoais (LGPD) em vigor no Brasil já há , a maior parte das empresas brasileiras ainda não se adequou à legislação. Como afirma a advogada Silvia Luisa Eifert Haas, especialista no tema, muitas pessoas já têm ingressado com demandas na Justiça com base nas normas da LGPD, e a própria Autoridade Nacional de Proteção de Dados (ANPD), órgão criado para regulamentar e fiscalizar a aplicação da lei, tem avançado na investigação de descumprimento das normas da legislação. Silvia, que atua no escritório Kipper Gewehr, reforça que a LGPD não proíbe as empresas de utilizar dados, mas exige que esse uso seja justificado, e que as companhias tenham pleno domínio do fluxo de utilização para evitar possíveis sanções.
Para quem ainda não está familiarizado, o que é a LGPD?
A Lei Geral de Proteção de Dados Pessoais (LGPD) foi publicada em 2018, entrou parcialmente em vigor em 2020 e plenamente em 2021. Define a regulamentação de como as empresas devem proceder ao utilizar dados pessoais, seja de quem for. No início, diversas pessoas e empresas achavam que a lei não era para todo mundo, muitos achavam que era só para quem tem e-commerce, mas isso é um grande erro, pois a LGPD impacta todos os negócios que utilizam dados pessoais, e não existe um CNPJ hoje no país que não lide com dados pessoais, de clientes, possíveis clientes, ou mesmo de seus funcionários. A lei também abrange dados pessoais eventualmente guardados em meios físicos, como em arquivos e documentos em papel dentro de empresas, que também estão sujeitos a incidentes (de vazamento, por exemplo).
Qual é a importância da legislação em um mundo cada vez mais digitalizado?
A lei surgiu exatamente porque a situação estava fora de controle. É importante destacar que a legislação não proíbe as empresas de usarem os dados, desde que cumpram determinados requisitos, que tenham justificativa com base legal para o uso desse dado, além empregá-lo de forma transparente. Antes da lei, o uso de dados estava completamente desregulado, com o cometimento de fraudes e outros atos ilícitos. Com a sociedade em digitalização crescente, deixamos rastros online de acordo com nosso consumo, e assim as empresas e outros órgãos podem traçar perfis de comportamento e fazer usos indevidos dessas informações. A lei trouxe ao cidadão o direito de saber quais dados as empresas têm de cada um, como são usados, se foram compartilhados. As empresas precisam ter essas respostas.
A ANPD ainda está focada na parte investigativa e educativa. Investiga o que está errado e depois cobra das empresas soluções para os problemas encontrados, buscando trazer a situação para a regularidade.
Como está o cumprimento da lei atualmente no Brasil?
Já observamos um grande movimento no Judiciário, em todo o país, com sentenças baseadas na LGPD, principalmente nas demandas trabalhistas, então cidadãos já buscam seus direitos diretamente com base na lei. A ANPD (Autoridade Nacional de Proteção de Dados), criada para regulamentar e fiscalizar a aplicação da lei, ainda está focada na parte investigativa e educativa. Investiga o que está errado e depois cobra das empresas soluções para os problemas encontrados, buscando trazer a situação para a regularidade. Então, por enquanto, a ANPD ainda não está na fase da aplicação de sanções e multas, mas o Judiciário sim. Recentemente, a ANPD publicou uma lista com 27 empresas que estão sendo investigadas, incluindo TikTok, Whatsapp e Telegram, que utilizam grandes quantidades de dados. Também há farmácias na lista, que exemplificam outro tipo de uso indevido dos dados pessoais. As farmácias podem registrar os medicamentos que as pessoas costumam comprar e criar um histórico de consumo. Depois, podem compartilhar com os planos de saúde, por exemplo, o que impacta posteriormente na cobrança desse plano. Esse é um exemplo de mau uso dos dados das pessoas que as empresas podem fazer.
A ANPD tem competência para aplicar multas?
Sim, na legislação as multas estão estabelecidas, e podem chegar a R$ 50 milhões, de acordo com o faturamento da empresa. Também podem ser determinadas outras sanções aos infratores, como o bloqueio de dados e a suspensão do serviço, por exemplo. As empresas precisam entender que não têm outra opção, são obrigadas a se adequar a essa legislação, porque as sanções, tanto administrativas quanto eventualmente aplicadas pelo Judiciário, podem gerar consequências graves para seus serviços.
Há poucas semanas, houve aplicação de multa altíssima à Meta, do Facebook, por parte da União Europeia, por compartilhamento indevido de dados de cidadãos europeus para os Estados Unidos.
Fora do Brasil há legislações semelhantes que inspiraram a criação da LGPD, certo?
Exatamente. Há poucas semanas, houve aplicação de multa altíssima à Meta, do Facebook, por parte da União Europeia, por compartilhamento indevido de dados de cidadãos europeus para os Estados Unidos. Isso trouxe os holofotes do mundo todo para esse assunto novamente e ligou o alerta nas empresas. A União Europeia foi pioneira em construir uma legislação neste tema, e a própria LGPD foi em grande parte inspirada na regra europeia, adequada à nossa realidade. Por isso, as sanções que começam a ser aplicadas lá refletem aqui também. Além disso, as empresas brasileiras que lidam com dados de cidadãos europeus devem ficar mais atentas para se certificar de que estão agindo da maneira correta.
Muitas empresas brasileiras ainda precisam se adequar à LGPD?
Infelizmente, mesmo estando em 2023, podemos dizer que cerca de 80% das empresas no Brasil ainda não se adequaram à LGPD. A maioria por desconhecimento, já que muitas ainda acham que a legislação não se aplica a elas, por acharem, equivocadamente, que não usam dados pessoais. Precisamos avançar muito ainda, as empresas precisam desenvolver esse entendimento, que têm responsabilidade pelo uso de dados pessoais, tanto de funcionários quanto de clientes.
A adequação à LGPD é uma mudança de cultura que as empresas precisam fazer, pois impacta em diversos processos.
Como as empresas podem se adequar à legislação?
A LGPD é uma lei multidisciplinar, que exige conhecimentos jurídicos, de tecnologia da informação e de outras áreas para a sua devida compreensão. Por isso, é necessário um atendimento especializado no tema, que pode ser feito por profissionais da própria empresa, se capacitados, ou por consultorias do mercado. A adequação à LGPD é uma mudança de cultura que as empresas precisam fazer, pois impacta em diversos processos. As empresas precisam mergulhar nos processos e entender qual é o fluxo de dados que usam, por onde os dados entram, qual sua utilização, onde são armazenados, quem tem acesso, por quanto tempo guardam e se há compartilhamento. É fundamental que as empresas dominem essas questões. Sem conhecimento de quais dados são esses, e como estão sendo usados, como será possível justificar seu uso?
* Colaborou Mathias Boni
