Desde setembro do ano passado, a Lei Geral de Proteção de Dados (LGPD) vigora no país. A legislação, que regula a atividade de tratamento de dados pessoais, sejam digitais ou impressos, busca proteger os direitos fundamentais de liberdade e privacidade dos titulares.
Motivos para se adequar à nova lei não faltam. A partir do próximo domingo, 1º de agosto, empresas em desacordo com a LGPD estão sujeitas a sanções administrativas por parte da Agência Nacional de Proteção de Dados (ANPD), caso não garantam a devida proteção dos dados de seus clientes, funcionários ou fornecedores.
Contudo, a implementação da lei nos empreendimentos da região está longe de ser uma realidade. Especialistas mostram preocupação com a exposição das empresas e o risco do vazamento, o que pode inviabilizar um negócio e causar danos aos titulares.
O engenheiro da computação Gerson Fell, que atua na área de tecnologia da informação, considera o cenário regional como preocupante. Questionado sobre como está o processo de adequação nas empresas, resume. “Elas não estão se preparando. Infelizmente só uma minoria está se adaptando”, afirma.
À curto prazo, Fell não vê uma adesão maciça dos negócios à LGPD e vê duas possibilidades disso ocorrer. “Talvez seja um efeito escada, com uma empresa de grande porte, que começaria a exigir de seus fornecedores. Ou uma empresa ser invadida e ter uma grande perda de dados. Aí, talvez as outras comecem a olhar. Temos que mudar esse conceito”, analisa.
Inspiração europeia
A construção da LGPD teve como inspiração uma legislação semelhante da Europa, que está em vigor desde 2018. E, como toda matéria que causa uma mudança de mentalidade, necessita de um tempo de adaptação. Mas a realidade mostra que ainda há muitas dúvidas sobre a lei.
A advogada Thaís Carnieletto Müller, consultora em LGPD, explica que, pela nova lei, há três tipos de dados: os pessoais, os sensíveis e os anonimizados. Em linhas gerais, a atividade do tratamento de dados limitará ao mínimo necessário as informações dos clientes, conforme a finalidade.
“A pessoa vai informar os únicos dados necessários para determinada finalidade. O resto é excesso. Se a empresa quer coletar mais informações, deve justificar em bases legais. Ela se responsabiliza pelos dados que coleta”, explica.
Já os dados sensíveis são aqueles que podem gerar discriminação e que não há necessidade de serem informados. “Dizem respeito a origem racial, étnica, convicção religiosa, opinião política, questões de saúde e orientação sexual. Tudo isso é dado sensível. E são de cunho privado, da pessoa. Não são de utilidade para a empresa”, salienta Thaís.
As sanções administrativas estão previstas a partir de 1º de agosto, mas as judiciais já ocorrem, lembra Thaís. “Há vários exemplos por aí. Agora, o que ocorrerão são as multas, que até 2% do faturamento da empresa. E podem ser multas diárias, acompanhadas de bloqueio dos dados, até regularizarem, e eliminação dos dados”, comenta. Caso a multa não seja paga no prazo, está sujeita a inscrição em dívida ativa e execução fiscal pela União.
Investimento x gastos
Para Gerson Fell, uma mudança de mentalidade é necessária para que a proteção de dados seja vista com um cuidado maior após a criação da LGPD. Segundo ele, investimentos em tecnologia da informação são tratados como “gastos” nas empresas.
“Há uma barreira muito grande. As empresas acham que, gastando R$ 100, R$ 200, R$ 300, resolve tudo. Quando você fala dos riscos do vazamento de dados e a invasão por hackers, ficam assustados”, diz Fell, que complementa com o exemplo do backup de dados. O recomendado para as empresas são três cópias em dois dispositivos diferentes e um offline. “Quando se fala em valores para não ter perda de dados, recuam e dão um passo atrás”.
Flexibilizações
Diretor assessor jurídico da Associação Comercial e Industrial de Lajeado (Acil), João Pedro Arruda lembra que a entidade promove debates para dar mais familiaridade às empresas sobre o tema, desde 2019. Para ele, é possível que a lei tenha flexibilizações para se incorporar na cultura dos negócios.
“A Alemanha, que foi pioneira nessa parte e leva o tema muito a sério, já flexibilizou algumas coisas da sua lei de tratamento de dados. Por uma questão de bom senso, isso tende a acontecer aqui. Mas vai demorar alguns anos até a legislação amadurecer. É a mesma coisa que o Código de Defesa do Consumidor. Foi um marco e um baque às empresas na época. Hoje, é um negócio natural”, exemplifica.
Entrevista
Marcílio Braz, Advogado, gerente de projetos em TI e fundador da Privacy Academy
Criou o primeiro curso do país sobre LGPD, em 2018. Para ele, a lei já apresentou problemas antes mesmo de entrar em vigor. O profissional acredita ser necessária uma mudança de cultura para que a proteção de dados ganhe o devido cuidado.
“As empresas ainda mal conhecem a lei”
A Hora: Houve falhas na implementação da LGPD?
Marcílio: Sim. Houve um problema já na aprovação da lei, quando ela foi fatiada. Entrou em vigor no ano passado e só agora iniciam as sanções administrativas. A divulgação dela, sobre o que tratava e sua abrangência, foi muito pequena por parte do governo, talvez por causa da pandemia. É uma lei que vai afetar todas as empresas, associações e órgãos públicos. O fato de colocar as sanções mais para frente passou a falsa impressão de que eles não precisariam se preocupar.
AH: Qual o cenário que se desenha para os próximos meses, com a aplicação das sanções?
Marcílio: As empresas ainda mal conhecem a lei. A tendência é de que se tenha uma corrida desesperada para tentar se adequar. E aí temos um novo problema: ofertas superficiais. Contratam profissionais que não tem a formação necessária, o custo é baixo e a empresa não tem noção do que está contratando. Isso resultará em um retrabalho, o que é péssimo para os negócios, que terão de pagar de novo pelo serviço. Na Europa aconteceu bastante disso.
AH: Num médio prazo, o que é deve ser feito para a LGPD se enraizar nos negócios?
Marcílio: Na Europa há leis neste sentido desde 1995. Aqui não tínhamos nada até 2018. Estamos falando da necessidade de uma mudança cultural. Isso é coisa para os próximos cinco anos, no mínimo. Talvez comece pelas grandes empresas. Mas, na maioria das vezes, elas dependem de pequenos fornecedores. Mesmo que as grandes estejam em conformidade, ficam vulneráveis porque as menores talvez não tenham dinheiro para bancar.
