Por Eduardo Maciel e Tatiana Coelho

Embora a Lei Geral de Proteção de Dados (LGPD) tenha sido aprovada em 2018, ela só passou a surtir efeitos práticos a partir de fevereiro deste ano, quando foi regulamentada. Até então, tinha apenas viés ‘educativo’, uma vez que as penalidades ainda não tinham sido delimitadas. A primeira sanção só foi aplicada em julho deste ano: duas multas a uma microempresa de telecomunicações que somam um total de R$ 14,4 mil.

A LGPD criou um vasto mundo de regulações completamente novas, tanto para o governo como para as empresas. E, por conta disso, os primeiros cinco anos da lei, completados este mês, funcionaram principalmente para que a iniciativa privada e a administração pública pudessem se adaptar à nova realidade.

Fato é, também, que grande parte das empresas não acreditou, logo de início, que a lei iria ‘pegar’, muito menos que seriam empregadas sanções a quem a descumprisse. Isso fez com muitas não investissem em ações de adequação à nova legislação. O estudo IT Trends Snapshot 2023, elaborado pela Logicalis e cujos dados foram coletados em agosto do ano passado, mostra que somente 36% das empresas afirmaram estar totalmente em conformidade com a LGPD. A maioria delas (43%) ainda se encontra na fase de adoção de medidas de conformidade a lei.

Manter-se inerte frente a um ecossistema que aos poucos vem se impondo, para além de prejudicial em termos sociais e de reconhecimento mundial, é estar suscetível à aplicação de sanções pela Autoridade Nacional de Proteção de Dados (ANPD) e facilitar a atuação de criminosos virtuais que podem paralisar qualquer operação. Ambos os casos podem ocasionar danos financeiros e reputacionais à organização.

As sanções pela autoridade nacional já são uma realidade. A primeira empresa que sofreu as consequências pela não adequação não foi uma grande empresa – como muitos acreditavam que aconteceria. Com isso, fica evidente que a fiscalização não tem alvo e independe do porte da empresa. Isto porque, seja ela pequena, média ou grande, a capacidade de causar grandes danos por tratamento inadequado dos dados pessoais é o mesmo.

Embora toda pessoa jurídica de direito público ou privado (bem como pessoas físicas que tratem dados pessoais com finalidade econômica) tenham o dever de se adequar à lei, há alguns setores mais suscetíveis ao risco e que, portanto, devem estar em alerta, como por exemplo organizações do ramo da saúde e e-commerces.

Dados de saúde, por si só, já são sensíveis. E um incidente envolvendo estas informações potencializa o grau de sanção. Sobre o e-commerce, que é fruto do avanço tecnológico e está presente na vida de grande parte das pessoas especialmente após a pandemia, quase sempre é feita a coleta de um alto volume de dados pessoais, não só de maneira direta — para viabilizar a operação de compra –, mas também indiretamente, com o objetivo de salvaguardar direitos, como geolocalização e outros dados que atingem a esfera da privacidade. Inspirar confiança entre os próprios clientes no ambiente digital, hoje, é essencial.

A regulação do tratamento de dados pessoais é uma questão global. Atualmente, 149 países já possuem legislação de proteção de dados. A União Europeia é referência no assunto e avança com seu sistema de enforcement (o que significa se fazer cumprir). O Brasil veio no encalço, com discussões emplacadas por volta de 2010 e que, hoje, em razão desta predisposição, possui chances de conquistar espaço dentre os países que lideraram a imposição de uma legislação que, mais cedo ou mais tarde, todos terão de abraçar por força do bem comum. Para além de impor uma legislação de proteção de dados, ser reconhecido pelo nível adequado de proteção é fundamental. Tal como hoje não nos enxergamos sem o Código de Defesa do Consumidor, por exemplo, assim será com a LGPD num futuro bem próximo.

O mesmo vem se desenhando na regulação da Inteligência Artificial. A União Europeia já possui projeto de regulamentação avançado que, em breve, deve ser aprovado. Isso fez com que o Brasil também antecipasse as discussões sobre o assunto. Em maio deste ano, o presidente do Senado, Rodrigo Pacheco, apresentou o projeto de lei que institui o Marco Legal da Inteligência Artificial no Brasil (PL 2.338/2023). O projeto foi elaborado por uma comissão de especialistas e passará agora a ser analisado pelas comissões temáticas do Senado.

Observamos, neste cenário, que o Brasil vem construindo liderança no ecossistema digital e de dados, de modo que é impositivo que as organizações entrem para o time dos que estão adequados a LGPD. Não há mais espaço para apostar no “será que a LGPD realmente vai pegar?”. Ela já pegou.

Pensar nas sanções que podem vir pela ANPD em razão da não conformidade com a legislação de proteção de dados representa o fortalecimento do sistema de enforcement do nosso país. O aprimoramento da fiscalização logo irá acontecer. Portanto, negligenciar as questões plenamente capazes de agregar valor ao modelo de negócio não parece uma escolha razoável. Se os custos com a adequação parecem altos, maiores ainda poderão ser os custos da não conformidade: multas regulamentares, custos de litígio, custos de remediação, danos à exposição de seus clientes e à até mesmo à dificuldade de mantê-los frente a uma ausência de adequação.

Eduardo Maciel e Tatiana Coelho, respectivamente sócio especialista em Direito Societário e advogada especializada em Direito Digital e Proteção de Dados do escritório MFBD Advogados. Artigo publicado no dia 12 de agosto de 2023 no Blog do Fausto Macedo, do Jornal O Estado de São Paulo. Clique aqui.