26 de maio de 2020

Riscos no adiamento da LGPD (e na falta de ação)

por Fernando Marinho

Eu nunca vi tanta gente se manifestando, de tanta forma diferente, dando as mais variadas e criativas opiniões através de posts, lives, vídeos e artigos sobre a LGPD e o “mistério” do que vai acontecer no caso da LGPD efetivamente ser adiada.

Então, na prática (RELEIA: NA PRÁTICA), o que mudaria em relação à rotina das empresas? NADA.

Ué, mas e a multa de R$ 50 milhões ou 2% do faturamento, etc. etc. ?

A multa, assim como as penalidades elencadas pela LGPD, serão aplicadas em casos de vazamento de dados ou denúncias de desvios de finalidade na coleta. Basicamente. Não é o mesmo que um imposto cobrado a cada emissão de nota fiscal ou uma taxa para custear algo, que vá se refletir no orçamento das empresas.

Estas multas, preconizadas pela LGPD, serão cobradas em situações de falhas, excepcionais, e por isso não se pode considerar que o adiamento da LGPD “ajuda” a empresa. A não ser que esta seja uma “vazadora costumaz”, que tenha medo do preço que terá de pagar na próxima vez que se tornar público.

Aliás, talvez este seja um grande receio, já que a LGPD exige que a empresa que vaze dados privados se denuncie, colocando seu nome na guilhotina da ANPD. Mas…não temos ANPD! E agora ?

Novamente a situação não é tão diferente assim, porque o MPDFT (Ministério Público do Distrito Federal e Territórios) tem investigado e, quando cabível, penalizado as empresas responsáveis por vazamentos ou irregularidades. Ah, mas a multa não é de R$ 50 milhões ?

Mas quem disse que a multa de R$ 50 milhões será emitida para qualquer caso de vazamento ? Acreditamos também no bom senso e coerência, onde um incidente sem ocorrências anteriores, possa demandar uma ação disciplinar, uma advertência ou uma multa diária.

Vale lembrar uma multa de R$ 7.4 milhões emitida pelo PROCON de BH em 2019, pela coleta de CPFs de clientes por uma rede de farmácias. Não houve vazamento, mas coleta de dados sem finalidade específica.

Os R$ 50 milhões são o “bicho papão” de quem está oferecendo um produto ou serviço, para comover o cliente. Mas não acredito que sejam fáceis de acontecer. Se olharmos na Europa, creio que só ocorreram duas ou três multas milionárias, nesse tempo de vigência da GDPR.

Na minha opinião, existem sim, dois grandes problemas que as pessoas não enxergam e que apesar da ausência da LGPD, deveria estar no “radar” de preparação das empresas, para evitarem estas vulnerabilidades que poderão se concretizar:

1. A empresa decide esperar a vacância terminar e a LGPD começar a vigorar, enquanto seus clientes já se mobilizaram para a conformidade

 
Isso significa dizer que, quando os clientes estiverem adequados à LGPD, via de regra só poderão contratar de fornecedores que também estejam em conformidade, sob risco de estarem em não conformidade! Caberá à alta gestão ter (e usar) esta percepção, para planejar a prioridade com que as atividades necessárias de ajustes à LGPD sejam implementadas.

2. A empresa possui uma grande base de dados (operadora de celular, exchange de criptomoeda, banco, seguradora, etc.) e começa a sofrer Ações Judiciais, como já acontece, por “Associações sem fins lucrativos”, que organizam Ações Coletivas para Produção Prévia de Provas, visando evidenciar a ausência dos requisitos exigidos pela LGPD que comprovem o ambiente de proteção de dados preconizado

 
Com base no Código de Defesa do Consumidor, esta ações visam exigir indenizações pela “exposição de dados privados de clientes” ou provar a “insegurança do ambiente onde os dados privados estão armazenados”, que poderão se multiplicar exponencialmente, à medida em que não haja (hoje) uma ANPD para regular ou disciplinar situações que a LGPD não previu, e que certamente serão exploradas de forma oportunista.

A Judicialização de Ações sobre Privacidade de Dados, em um momento em que Juízes ainda não estão familiarizados com o assunto, pode se tornar um enorme fator de risco, considerando-se que as sentenças que venham a ser proferidas devam estar mais próximas da interpretação do CDC, do que da LGPD.

No dia que publiquei este artigo, Jucimar Pereira dos Santos publicou um comentário excepcional: “LGPD, O PL1379, aprovado no Senado Federal e já encaminhado à Câmara dos Deputados, quando trata de alterar vigência da LGPD, cria uma certa cilada para os tratadores de dados individuais, pois faz referência à data do novo inicio de vigência da lei (janeiro 2021) e data a partir da qual poderão ser imputadas penalidades administrativas (agosto 2021).

A permanecer assim, parece-me que, o prazo de não-imposição de penalidade, não invalida a obrigatoriedade de estar-se adaptado às exigências da lei até o final de dezembro de 2020, pois não estarão suspensas as iniciativas de pessoas físicas pleitearem indenizações, caso os detentores dos seus dados não lhe deem as respostas à demandas que lhe são deferidas na lei, pois a garantia de não-penalização somente se refere às de cunho administrativo, além do que, indenização não se confunde com penalidade.

Ou se corrige isso, ou estaremos diante de uma lacuna em termos de compliance das empresas que não estiverem conformes com a LGPD, quanto a atender os pedidos dos titulares dos dados armazenados.

Entendo que é um ponto de reflexão importante. E todo o cuidado é pouco.

Ao meu ver, estes são verdadeiramente os maiores risco que as empresas atualmente correm, pela ausência de uma LGPD em vigor e da autoridade responsável pela sua regulação.”

Muito bem colocado, apontando o risco jurídico para empresas que se preocupam com as multas, mas deixam de lado aspectos mais reais e imediatos.

Desejo a todos muita calma e paciência. Tranquilidade se preparando para o pior, mas esperando o melhor.

FONTE: LINKEDIN

newsletter

LEIA TAMBÉM

 

Tags: , , , , , , , ,

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

  • Fernando Marinho
    Fernando Marinho

    Meu nome é Fernando Marinho, sou consultor de empresas especialista em Continuidade de Negócios, Privacidade & SI, LGPD, Gestão de Riscos e de Crises. Professor de Pós Graduação na UFRJ, UniRIO, Escola de Guerra da Marinha e outros, além de participar de três Grupos de Trabalho na ABNT (Riscos, Continuidade de Negócios e Segurança), também publiquei três livros sobre o que faço. Se quiser conhecer mais sobre meu trabalho, visite o site da minha empresa em www.epokaconsutoria.com.br.