Sanções da LGPD finalmente entram em vigor, mas “de leve” no começo
23 de abril de 2022
Sem categoria
Não é exagero dizer que este domingo (1º/8) é um dia histórico para a proteção de dados pessoais no Brasil. Quase um ano depois da entrada em vigor da Lei Geral de Proteção de Dados Pessoais (LGPD), finalmente podem começar a ser aplicadas as sanções nela previstas. E não se deve dizer que são punições leves, uma vez que o teto da multa a ser imposta à empresa que não respeitar a lei é R$ 50 milhões.
No entanto, não se espera que a Autoridade Nacional de Proteção de Dados seja muito rigorosa na aplicação das multas, pelo menos não em um primeiro momento. Especialistas em proteção de dados ouvidos pela ConJur acreditam que a ANPD deverá adotar inicialmente uma postura muito mais didática do que punitiva.
“A ANPD já se manifestou no sentido de que não vai buscar uma atuação no sentido puramente punitivo. Ela quer encaminhar um modelo de regulação responsiva onde seja capaz de induzir e direcionar os regulados a se adequarem à legislação independentemente das sanções, por meio de estímulos normativos pedagógicos, de modo que as medidas punitivas seriam a última alternativa”, disse o advogado Laércio Sousa, responsável pela área de Direito Digital do escritório Velloza Advogados.
Sousa acredita que a aplicação massiva de multas só ocorrerá em uma segunda fase de fiscalização da LGPD, quando se espera que as empresas brasileiras já estarão mais bem equipadas para tratar os dados pessoais das pessoas físicas com as quais se relacionam. Mesmo assim, os operadores do Direito que atuam nessa área alertam: os empresários farão péssimo negócio se acreditarem que não precisam se apressar para se adequar às determinações da lei.
“É comum ouvir executivos dizerem: ‘Minha empresa é B2B, por isso não preciso me preocupar’. Isso não é uma verdade. Quase toda organização lida com dados pessoais, nem que sejam os dados das pessoas internas (empregados), e as atuais práticas precisam passar por uma avaliação. Se questionadas, as empresas precisam ter condições de provar que possuem um programa de conformidade adequado às suas atividades, baseado em políticas e regras de boas práticas”, opinou Renato Valença, especialista em LGPD do Peixoto & Cury Advogados.
“Por exemplo, a coleta de dados deve se limitar àqueles para a finalidade a que se destinam. Se não é necessário coletar a data de nascimento do consumidor no cadastro que ele fizer para aquisição de produtos no e-commerce, esse é um dado que não deve ser coletado. Da mesma forma, é preciso ter precaução com o envio e o compartilhamento dos dados para terceiros: se a empresa não tiver obrigação legal ou motivo, e não informar na sua política sobre esse compartilhamento, não pode compartilhar dados com terceiros”, explicou Maria Cibele Crepaldi Affonso dos Santos, sócia gestora do Costa Tavares Paes Advogados.
Falta a doutrina
Não só a LGPD é uma novidade como o próprio tema da lei — tratamento de dados pessoais — continua sendo um território pouco explorado pelo Judiciário brasileiro. Por isso mesmo, ainda não foi formada uma doutrina sobre o assunto, o que cria um certo clima de insegurança jurídica, como explica Paulo Vinícius de Carvalho Soares, sócio e DPO da banca Lee, Brock, Camargo Advogados.
“A LGPD é uma lei nova e, por óbvio, suas disposições não estão completamente inseridas nas realidades mercadológicas. O Judiciário já experimenta o tema desde a vigência da norma, mas, certamente, não está maduro para lidar com as demandas. A norma carece de doutrina nacional sólida e, inclusive, de posicionamentos da Autoridade Nacional de Proteção de Dados, cujo trabalho ainda é prematuro”, explicou ele. “O caminho parece se desenhar para a maturidade do tema, sobretudo em razão da expressividade dos acionamentos judiciais na matéria, mas a trilha ainda é longa, uma vez que ainda será necessário verificar o entendimento não só dos tribunais estaduais e federais, mas também do STJ e STF sobre o assunto”.
Quando fala sobre expressividade dos acionamentos judiciais na matéria, Soares não está exagerando. O fato de o Judiciário brasileiro ainda não estar devidamente familiarizado com o tema — e de as sanções da LGPD só poderem ser aplicadas a partir deste domingo — não impediu que cidadãos e associações de defesa dos consumidores fossem aos tribunais pedindo a aplicação da lei, nem sempre com as melhores intenções. As ações civis públicas contra empresas acusadas de violar dados pessoais já chegam a às centenas — só uma associação de Belém, por exemplo, ajuizou 72 ACPs.
“As ações continuam sendo ajuizadas e as empresas e instituições não foram sequer notificadas extrajudicialmente para que pudessem tomar conhecimento sobre o que estariam fazendo de errado. Esse procedimento chama a atenção pela forma descuidada com que essas ACPs são ajuizadas, além dos pedidos não serem minimamente razoáveis dentro da lógica prevista na LGPD”, relatou Daniel Cavalcante Silva, sócio da Covac Sociedade de Advogados.
Entre as empresas e instituições acionadas por meio de ações civis públicas estão concessionárias de veículos, locadoras de automóveis, oficinas mecânicas, supermercados, farmácias, escolas, instituições de ensino superior, cursos de línguas, entidades assistenciais, hospitais, laboratórios, clínicas médicas e operadoras de planos de saúde. Para Daniel Silva, isso mostra que consumidores e associações estão atirando para todos os lados, inclusive nos valores das ações — uma delas chega a R$ 10 milhões.
“Esse tipo de procedimento reprovável não é necessariamente novo, mas vem ganhando contornos diferentes em função da LGPD. Não restam dúvidas de que essas ações equivocadas prejudicam aquelas que realmente buscam a proteção dos titulares dos dados, que adentram na circunstância fática ocorrida e fazem a correta análise com base na LGPD, sobretudo aquelas ações coletivas que tentam de fato minorar o prejuízo dos danos já ocorridos pelos vazamentos de dados divulgados. Essas ações não podem se confundir com as ACPs ajuizadas por mero oportunismo, que claramente não objetivam a defesa do consumidor e muito menos a proteção de dados pessoais”, afirmou o advogado.
Fonte: ConJur