Regras para resguardar privacidade do cidadão pode começar a ser usada em agosto

(crédito: Maurenilson Freire/CB/D.A Press - 23/2/15)

Em vigor desde 2020, a Lei Geral de Proteção de Dados (LGPD, lei nº 13.709) promete mudar a forma como empresas e órgãos públicos lidam com dados pessoais e informações sensíveis. O cidadão, em teoria, passa a ter maior poder sobre seus próprios dados, o que, mesmo em 2021, parece distante, em um contexto no qual grandes vazamentos são frequentes — como no caso do megavazamento de informações vinculadas a mais de 220 milhões de CPFs que veio à tona no início do ano.

Apesar de a lei já ter entrado em vigor, as sanções previstas só passarão a valer a partir de 1º de agosto deste ano. O prazo inicial era fevereiro de 2020, mas a data foi adiada três vezes. Entre as punições previstas, a que mais preocupa empresas é a aplicação de multas, que podem chegar a R$ 50 milhões.

O período entre o início da vigência da lei e o início das punições tem efeito educativo, pois empresas e órgãos públicos precisam se adequar às novas regras. A advogada Andreia Mendes, do escritório Mauro Menezes & Advogados, explica que é comum, na legislação brasileira, estabelecer prazos para que leis comecem a ser cumpridas plenamente.

Por isso, a Autoridade Nacional de Proteção de Dados (ANPD), que será responsável pela fiscalização e aplicação de sanções, busca, em primeiro lugar, criar uma cultura de proteção de dados no Brasil, sem aplicar punições inicialmente.

Em sabatina na Comissão de Infraestrutura no Senado Federal no ano passado, o diretor-presidente da ANPD, Waldemar Gonçalves Ortunho, disse que “punições serão usadas apenas como última alternativa”. Isso, no entanto, pode fazer com que as ações em prol da proteção de dados demorem a ser colocadas em prática. Segundo Andreia, o receio da aplicação de multas é essencial para que empresas invistam mais em segurança. Ela aponta, no entanto, que a lei pode permitir que essas organizações escondam vazamentos, por medo de sanções.

“Na Europa, quando a General Data Protection Regulation (GDPR), equivalente à lei brasileira, estava para entrar em vigor, houve muitos casos de invasão para captura de dados. Porque aí eles fazem o bloqueio de dados e pedem recompensa para a empresa não ser denunciada. Se todo mundo soubesse que a empresa foi hackeada, poderia responder por isso. É algo que se pode esperar”, comenta.

Já a especialista em direito digital da Data Privacy Brasil, Flávia Bortolini, entende que é compreensível que o período para a aplicação de sanções tenha sido prorrogado em um contexto de crise que afetou gravemente as empresas e causou elevado índice de desemprego. Mas ela acredita que a data para o início das punições não deve ser novamente postergada.

“Foi adequado o período, mas não deve se estender. Muita coisa aqui no Brasil só funciona se dói no bolso. Isso leva o Brasil para um patamar de países que têm responsabilidade com dados, o que é bom. Sem contar que empresas que investem no tratamento dos dados são muito mais lucrativas”, argumenta.

O principal desafio a ser vencido para o cumprimento da lei, segundo ela, é a escassez de especialistas em proteção de dados. Esse, segundo a advogada, é um problema enfrentado pela própria ANPD. “Acho que não teremos multas ou sanções graves nesse primeiro momento, pelo menos até o fim do ano. Mas hoje não é a empresa pequena que está no radar da ANPD, são os bancos, e-commerces, empresas de telefonia”, comenta.

Ela ressalta, no entanto, que as empresas que investirem em proteção de dados agora terão a chance de se adiantar e crescer em um mercado que ainda está engatinhando. “Uma empresa que faz coleta de dados de cidadãos europeus (onde há lei própria sobre o assunto) já tem que ter uma proteção de dados. Precisa ter uma lei que se comunique com a lei europeia. O empresário que vai se adequar a isso já vai estar largando na frente”, completa.