Estudos apontam que grande maioria das empresas ainda não possui mecanismos de proteção e tratamento adequado dos dados coletados e estarão sujeitas a multas que podem alcançar o valor de R$ 50 milhões.
A Lei nº 13.709/2018, conhecida como Lei Geral de Proteção de Dados, inovou no plano legislativo ao regulamentar os procedimentos de coleta, tratamento, compartilhamento e descarte de dados pessoais, adotados pelas empresas. A Lei trouxe limitações à liberdade antes detida pelas empresas de coletar quaisquer dados de seus consumidores e compartilhá-los com outras empresas e provedores de sua cadeia de serviços, na maioria dos casos, independentemente de qualquer ciência ou autorização do titular dos referidos dados.
Apesar de estar em vigor desde o ano de sua publicação, em 2018, a Lei estabeleceu um período de carência para o início da aplicação das penalidades administrativas previstas. Essa medida teve como intuito conceder às empresas um período razoável para que pudessem implementar mecanismos internos de controle e proteção dos dados pessoais coletados, assegurando aos consumidores os direitos constantes da legislação, como: direito de informação sobre o uso dos dados coletados; direito de acessar, a qualquer tempo, todos os dados de sua titularidade armazenados pela empresa; direito de revogar o consentimento para uso dos dados; direito de solicitar eliminação dos dados dos bancos de dados da empresa.
Muitas empresas, no entanto, ainda não implementaram esses mecanismos de controle e segurança, principalmente considerando que uma boa política de proteção de dados não é estática, devendo ser criados, também, mecanismos de verificação de pontos de vulnerabilidade que permitam que as medidas adotadas pelas empresas estejam em constante aprimoramento. Nesse ponto, é importante ressaltar que a mera edição de políticas de segurança, desassociadas de efetivas práticas implementadas pela empresa, são insuficientes à caracterização do pleno compliance com a LGPD.
Dentre as sanções previstas na Lei, encontram-se a advertência, com indicação de prazo para correção da infração; a publicização da infração, que pode acarretar dano reputacional à empresa envolvida; bloqueio dos dados pessoais a que se referem a infração; suspensão do acesso ao banco de dados a que se refere a infração; suspensão de qualquer atividade de tratamento de dados; e multa diária ou multa simples, que podem alcançar o montante de R$ 50 milhões.
Sem prejuízo às sanções administrativas mencionadas, há de se considerar, também, a possibilidade de os consumidores acionarem judicialmente as empresas sempre que percebido algum prejuízo decorrente do tratamento incorreto ou vazamento indevido de seus dados. Somente no primeiro semestre de 2021, mais de 600 ações já foram ajuizadas por consumidores que alegam terem sofrido prejuízos em razão do compartilhamento indevido ou vazamento de seus dados, pleiteando o pagamento de indenizações.
O que se observa, no entanto, é que, ainda diante da ocorrência de uma infração, a conduta da empresa será essencial na análise de cada caso e será levada em consideração no momento de cominação da sanção correspondente, tanto na via administrativa quanto nas ações judiciais. As sanções, principalmente as administrativas, tem caráter pedagógico e buscam estabelecer uma conduta responsável das empresas com relação aos dados pessoais, incentivando, sempre, o aprimoramento de medidas de segurança. A Lei dispõe expressamente que a aplicação das sanções terá como parâmetro a boa-fé do infrator, a cooperação do infrator, a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, a pronta adoção de medidas corretivas e a adoção de políticas de boas práticas e governança. Evidencia-se, portanto, que a adoção de mecanismos efetivos de proteção de dados não só protege a empresa contra eventos que possam caracterizar infração nos termos da Lei, como também mitiga penalidades diante da ocorrência de qualquer violação.
Diante disso, é de suma importância que as empresas, independente de seu porte, busquem aconselhamento para a implementação de políticas de proteção de dados efetivas e em conformidade com a LGPD. Importante lembrar, ainda, que a LGPD não está restrita ao tratamento de dados do consumidor final, mas também aos dados de quaisquer pessoas físicas, como funcionários, colaboradores, clientes, fornecedores e prestadores de serviço.
