• Gestão e Negócios
  • min

Como as empresas se adequaram à LGPD

A Lei Geral de Proteção de Dados Pessoais (LGPD) foi promulgada em agosto de 2018 e entrou em vigor em setembro de 2020. A lei tem como objetivo proteger os direitos fundamentais de liberdade e de privacidade e a livre formação da personalidade de cada indivíduo.

Para contextualizar como as empresas se prepararam para atender à lei, as principais dificuldades e quais as penalidades a que estão sujeitas, conversamos com o advogado Norival Raulino da Silva, especialista em Direito Digital do escritório Silva, Santana & Teston – SST Advogados. Norival é especializado em Direito Digital, Comunicação Digital e Propriedade Intelectual, e é Certificado em Governança de Privacidade pela Associação Internacional de Profissionais de Privacidade – IAPP.


Norival Raulino Silva

Acompanhe a entrevista com Norival Raulino Silva:

O que mudou para as empresas com entrada da LGPD, como elas estão com relação à lei?
Norival: A Lei Geral de Proteção de Dados surge como necessidade de evitar abuso e negligência no processamento de dados, cada vez mais intenso em razão das inovações tecnológicas. Para as empresas a lei significa a necessidade de avaliar e repensar a governança da informação como um todo. Os processos de coleta, armazenamento, compartilhamento e eliminação de dados são impactados, e em cada etapa de ciclo desse fluxo é preciso adotar controles contra uso ilegítimo e acesso indevido aos dados pessoais.

Na prática, as empresas que já estão em estágio mais avançado em suas rotinas de adequação percebem a minimização de coleta de dados pessoais e uma preocupação maior com procedimentos de segurança da informação.
No geral, a percepção de que a lei era um “problema” ou um “transtorno” está sendo superada e as empresas começam a entender que é possível manter suas atividades negociais em compasso com medidas de proteção de dados.

Qual foi ou é a maior dificuldade das empresas para atender à lei?
Norival: Entendo que foi e continua sendo a ideia equivocada de que a adequação à LGPD é alcançada rapidamente, e que uma vez atingida, nunca mais preocupará. A abordagem de atendimento à LGPD envolve esforços constantes de legitimidade, segurança de dados, atendimento a titulares e gerenciamento de riscos.

Num ambiente em que as ameaça evoluem e que rotinas administrativas são rapidamente ajustadas, pensar que atender a lei é um trabalho que começa e acaba é, por si, um grande risco. Nesse sentido a grande dificuldade a ser superada é conscientizar a direção das empresas da necessidade de adotar uma estrutura de governança de privacidade.

Existe diferenças no cumprimento para empresas de diferentes ramos de negócios – comercial, industrial, bancário, por exemplo?
Norival: Certamente. Em primeiro lugar a LGPD é uma lei que convive com diversas outras normas que estabelecem obrigações de tratamento de dados. Essas normas, por sua vez, podem variar de acordo com o setor de atuação. Além disso, as finalidades de tratamento e os tipos de dados tratados variam de acordo com os ramos, o que levam a diferentes abordagens de controle de risco.

Empresas que atuam com dados de saúde, por exemplo, precisam adotar controles mais adequados para garantir a segurança de dados sensíveis; instituições financeiras precisam adotar critérios específicos para evitar roubo de identidade, ataques de terceiros e compartilhamento indevido de dados. Enfim, cada atividade empresarial tem suas preocupações específicas.

Como as empresas estão convivendo com a LGPD na prática, especialmente com a possibilidade de altas penalidades pelo descumprimento?
Norival: As penalidades estabelecidas na Lei podem chegar a valores significativos, e de fato essa foi a grande preocupação inicial que levou empresas a buscarem atender à lei. Na medida em que os esforços de adequação são adotados e que a lei é compreendida, percebe-se que o esforço principal é na criação de uma cultura de privacidade e de segurança de dados que acaba se revertendo em outros ganhos.

Quais as principais as causas dos processos judiciais movidos contra as empresas?
Norival: A principal causa de processos judiciais é vazamento de dados pessoais. Esse tipo de incidente já gerava dever de indenizar antes mesmo da LGPD, mas, a partir da Lei, as pessoas atingidas ficaram mais conscientes de seu direito de informação e de reparação pelos danos. Existem também muitas ações relacionadas ao uso ou compartilhamento indevido de dados, os contatos comerciais sem amparo legal e o desrespeito a direitos dos titulares, como o de exclusão de dados.

O que está dificultando ou por que não há condenação judicial na maioria dos casos? É a falta de regulamentação, pela Autoridade Nacional de Proteção de Dados (ANPD), dos parâmetros e da forma de cálculo para aplicação das sanções previstas na lei?
Norival: A maioria dos processos ainda não gera condenações porque, em grande parte, essas ações realmente são infundadas, algumas tentam criar uma ideia equivocada das disposições da LGPD. Também pesa muito na defesa das empresas a demonstração de esforços de atendimento à Lei: medidas de controle, políticas de privacidade, base legal, etc.

A falta de regulação também pesa, porque não sendo definidas questões ainda sujeitas a intepretação, não seria possível alegar descumprimento de lei.
Vale esclarecer, porém, que o Judiciário atribui responsabilidade civil, ou seja, condenações voltadas a reparar danos. A ANPD tratará de penalidades. Não é a falta de parâmetros e procedimentos de penalidades da ANPD que dificulta a condenação no Judiciário.

Qual a tendência para os próximos meses?
Norival: Existem algumas expectativas bem definidas para os próximos meses. No campo regulatório, se espera da ANPD justamente a instituição dê parâmetros objetivos para a atribuição de penalidades, incluindo as multas. Também se aguarda a edição de normas relacionadas à Comunicação de Incidentes de Segurança, uma exigência específica da LGPD. Quanto ao aspecto judicial, entendo que o cenário de poucas condenação ainda não se altere no curto prazo, mas deve aumentar significativamente no médio e curto prazo.

Do ponto de vista corporativo, o que se nota é que as corporações mais avançadas em seus esforços de adequação começarão a pressionar parceiros e fornecedores a adotarem níveis mínimos de governança de privacidade. A Lei estabelece esse tipo de “fiscalização” horizontal entre as próprias empresas e até aqui as empresas mais maduras estavam muito centradas em seus problemas internos, mas já se nota um aumento de auditorias e avaliações de terceiros. O reflexo disso é que no longo prazo não ter ao menos um plano de adequação poderá significar inviabilidade de fazer negócios.

Para o consumidor, quais foram as principais mudanças e melhorias?
Norival: Já é possível notar que ficou muito fácil para os consumidores – e aqui prefiro falar em titular de dados – obter informações sobre como seus dados serão tratados ao disponibilizá-los em cadastros online ou mesmo em lojas e estabelecimentos presenciais. Também ficou mais fácil solicitar informações e registrar pedidos de exclusão, retificação, atualização de dados, se opor a algum tipo de tratamento.

Embora o titular talvez não perceba, existe uma grande movimentação “de bastidores”, entre consultores, fornecedores de soluções de tecnologia, advogados e administradores, voltada a aprimorar os controles de segurança de dados pessoais sensíveis.
Em outras palavras, a Lei já apresenta bons resultados para cada um de nós.