Por Andréia Sabi – OAB/SC 49.200 - Advogada e Consultora em Compliance, Atuação nas áreas de Direito Empresarial e Direito de Saúde. Especialista em Liderança, Gestão e Auditoria em Sistemas de Saúde.
A Lei n. 13.709/2018, conhecida como Lei Geral de Proteção de Dados (LGPD), já está em vigor desde a semana passada. A legislação teve um longo período, de vacatio legis, que é o período que decorre entre o dia da publicação de uma lei e o dia em que ela entra em vigor, que durou mais de dois anos.
Mesmo assim, muitas empresas brasileiras deixaram de iniciar a adequação de seus processos internos, documentos jurídicos, desenvolvimento de políticas de privacidade e proteção de dados e outras ações necessárias.
A LGPD é aplicada a todos os setores da economia e possui aplicação extraterritorial, ou seja, toda empresa que tiver negócios no país deve se adequar a ela.
Esta Lei dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade através da proteção aos seus dados pessoais.
Portanto, a normativa trouxe obrigações que terão impacto direto na operação de qualquer empresa que realize a coleta, armazenamento e tratamento de dados pessoais de alguma forma, seja virtualmente ou de forma física, sendo que todas as empresas, como controladoras destes dados terão que se adaptar.
A LGPD define as responsabilidades das empresas na proteção dos dados pessoais tornando mais claros os riscos que estão submetidas em seus processos de negócios, pois a não conformidade poderá culminar em sanções, de acordo com o art. 52 da LGPD, que prevê advertência, multa ou até mesmo a proibição total ou parcial de atividades relacionadas ao tratamento de dados. Essas multas podem variar de 2% do faturamento do ano anterior até a R$ 50 milhões, passando por penalidades diárias.
Apesar das sanções poderem ser aplicadas somente a partir de 03.05.2021, não há segurança jurídica de que a aplicação possa retroagir e punir infrações à LGPD que se deem a partir de hoje.
Além disso, os riscos existem desde já e podem provocar impactos legais, financeiros e prejuízos de imagem, tendo em vista que qualquer titular de dados poderá requerer o cumprimento de seus direitos de receber informações sobre o tratamento de seus dados, direito de retificar, cancelar ou até solicitar a exclusão desses dados, inclusive, poderão propor ações indenizatórias pelo não cumprimento de seus direitos.
Os dados pessoais são relativos ao seu titular, sendo que eles direcionam as vendas, as campanhas de marketing, as decisões de negócios, bem como, identificação em transações comerciais nacionais e internacionais e quando armazenados se tratam de informações, que em forma digital ou física podem ser acessados, alterados ou compartilhados.
Portanto, as ameaças existem porque em todo processo de tratamento de informação há sempre algum nível de vulnerabilidade. Esses riscos podem ser de vazamento, uso indevido dos dados, divulgação não autorizada ou a sua manipulação com objetivos prejudiciais ao seu titular.
Destarte, a implantação de um Programa de adequação para conformidade com a LGPD é uma ferramenta e um passo importante para qualquer empresa.
Há de se considerar também, que as empresas que já adotam um Programa de Compliance efetivo terão maior facilidade para adequar-se à LGPD e formular regras de boas práticas de governança que estabeleçam as condições de organização e procedimentos, as políticas de segurança de dados, as ações educativas e os mecanismos internos de mitigação de riscos relacionados ao tratamento de dados pessoais.