CONTEÚDO E INFORMAÇÃO

Após muita espera, as sanções por violação da LGPD entraram em vigor! Nathalia Scalco, nossa sócia AM, deu o seu parecer para o portal Valor, onde alertou sobre possíveis penalizações que as empresas podem receber se descumprirem a lei. As sanções administrativas previstas na Lei Geral de Proteção de Dados (LGPD) entram em vigor neste domingo (1º), mas na prática não haverá a aplicação de multas para
empresas que não se adequaram à nova norma. Isso ocorre porque a Autoridade Nacional de Proteção de Dados ANPD), responsável pela fiscalização e punição de
eventuais incidentes, ainda depende de regulamentação e dosimetria (cálculo para
definir a pena).

A própria lei prevê que haverá um regulamento próprio para definir esses pontos. Estamos ouvindo empresas e todos os envolvidos para essa definição e só após isso
sairá o regulamento”, diz Waldemar Gonçalves Ortunho Junior, diretor-presidente da ANPD.

De acordo com a LGPD, a multa pode chegar a 2% do faturamento, limitado ao teto de R$ 50 milhões, até a interrupção da atividade corporativa.

O adiamento da cobrança das multas dará um fôlego para muitas empresas. Pesquisa
realizada pela Fundação Dom Cabral mostra que 60% das empresas ainda ignoram o
alto impacto ou a alta probabilidade de ocorrência de um incidente de segurança
relacionado ao risco cibernético e vazamento de dados.

Danilo Doneda, advogado e professor no Instituto de Direito Público (IDP), alerta que,
apesar de formalmente não haver mudança significativa com a entrada em vigor das
sanções, o impacto com problemas de dados não é só a multa. Ele destaca que
parceiros comerciais estão cada vez mais atentos a essa questão, o que pode reduzir
potencial de penetração em algumas camadas de mercado.

Uma das exigências da LGPD é que as empresas, independentemente do porte,
tenham um profissional encarregado pela proteção dos dados pessoais, o chamado
DPO, na sigla em inglês. Esse colaborador será o canal de comunicação entre a
empresa, os titulares dos dados e a ANPD. A exigência desse profissional para firmas
menores tem sido motivo de polêmica. O principal ponto é elas não teriam capacidade
financeira para arcar com o custo desse colaborador.

“A tendência é que não seja obrigatório esse profissional para as pequenas e médias
empresas, mas elas devem ter os cuidados com os dados assim como as demais”,
explica o diretor-presidente da ANPD. De acordo com Ortunho Junior, as novas regras
para as pequenas empresas deve sair até meados de agosto.

O estudo da Fundação Dom Cabral revela que 66% das companhias já nomearam esse
profissional, sendo que deste total, apenas 14% são exclusivos para a função. A
maior parte, 52%, acumula o exercício com outras funções, tais como CCO (diretor de
Comunicação), CIO (responsável pela tecnologia da informação) ou jurídico.

A advogada Rogéria Leoni Cruz, diretora jurídica do Hospital Albert Einstein, foi a
escolhida para exercer a função de DPO na organização. “Apesar de não haver mais a
necessidade de ser um profissional jurídico, o meu tempo de casa – 21 anos – e
conhecimento da organização contribuem para exercer a função, porque sei
exatamente por onde entram os dados e por onde eles trafegam, o que é difícil fazer
só com mapeamento”, diz.

Desde que a LGPD entrou em vigor em setembro, o hospital criou a função e começou
a preparar os profissionais para atender às exigências da lei. “A área médica já tem
essa característica de confidencialidade e proteção de dados”, afirma a executiva, que
comenta que treinamentos estão sendo realizados constantemente para conscientizar
os profissionais sobre o tema.

Identificar de onde saiu o vazamento de dados nem sempre é tarefa fácil. Rogéria cita o
caso de um paciente que foi tomar um café na lanchonete, acabou tirando a pulseira
de identificação e deixou na bandeja. Dias depois, percebeu que seus dados pessoais tinham sido vazados. “Felizmente, a esposa lembrou que tinham deixado a pulseirinha
na bandeja e acabamos percebendo que as informações foram coletadas dali”, diz.

Recentemente, diversas empresas e órgãos públicos tiveram seus sistemas invadidos e
dados pessoais de milhões de brasileiros – como CPF, endereço, número do PIS/Pasep, telefone entre outros – eram comercializados na deep web. Ortunho Junior afirma que a ANPD acionou os órgãos de investigação, como a Polícia Federal, e aguarda o fim das
investigações.

“Vazamento de dados pode ocorrer mesmo com empresa em conformidade e com
elevado nível de segurança de dados”, diz Henrique Fabretti, gestor da área de
proteção de dados e DPO do escritório Opice Blum, Bruno e Vainzof.

Fabretti explica que ainda não existe parâmetro quantitativo para definir a penalidade
em caso de vazamento de dados. “Se a organização aplica política de boa prática de
governança, prontamente faz a recuperação daquele problema. Além do tamanho do
dano, reincidência e condições econômicas são aspectos que serão levados em
consideração para definir a penalidade.”

A advogada Nathalia Scalco, do escritório Andrade Maia, alerta que empresas poderão
ser penalizadas caso descumpram as obrigações estabelecidas pela lei e,
especialmente, se em decorrência disso, causarem algum dano aos titulares dos dados
. “Eventuais medidas aplicadas pelas empresas, como programa de proteção de dados
e mecanismos de segurança, poderão ser utilizadas, em caso de violação, para atenuar
ou reduzir eventual penalidade a ser imposta”, afirma.

Daniel Cavalcante, do escritório Covac Sociedade de Advogados, destaca que, em caso
de violação da LGPD, a pessoa que for afetada poder fazer uma denúncia diretamente
à ANPD.

Fonte: Valor