Autora: Luiza Sato
A nova Lei Geral de Proteção de Dados (LGPD) vem sendo calorosamente debatida e os especialistas no assunto insistem em alertar ao público de que as consequências da não adequação antes de sua entrada em vigor, em 2020, podem ser desastrosas para a imagem e as finanças da empresa.
Ainda assim, há muitos céticos e desavisados que seguem defendendo que a lei não vai pegar, ou que só empresas como Google e Facebook estariam na mira da autoridade supervisora, ou, ainda, que há tempo suficiente para adotar as medidas necessárias para a adequação.
Existem, por outro lado, aqueles que já entenderam tanto a importância como a complexidade do trabalho de conformidade à LGPD, que se encontram atordoados com o assunto e sem saber para onde direcionar energia, tempo e dinheiro. E aqui conseguimos constatar o lado bom de o Brasil estar na retaguarda dos países com legislação específica de proteção de dados.
Com outras leis estrangeiras anteriores abordando o mesmo assunto, podemos ter uma base para prever o possível cenário brasileiro quando da entrada da LGPD em vigor. Prestes a completar, no dia 25 de maio, seu 1º ano de vigência, a General Data Protection Regulation da União Europeia (GDPR) já traz números que podem inspirar o mercado brasileiro, tanto no sentido de ajudar a focar esforços para o que parece ser mais urgente, como de conscientizar os tomadores de decisões dentro das empresas da necessidade de adequar as suas atividades de tratamento de dados pessoais.
Vale lembrar que a GDPR é hoje o standard mundial em matéria de proteção de dados e é o documento legal que embasou a nossa LGPD, sendo bastante útil entender os seus desdobramentos. No dia 26 de fevereiro foi publicado o relatório anual das atividades do European Data Protection Board (EDPB), que tem como principal função garantir que as decisões das autoridades supervisoras de proteção de dados dos países da União Europeia sejam uniformes.
Dos 206.326 casos tratados pelas autoridades supervisoras de maio de 2018 até janeiro de 2019, a maioria, 94.622, foram originados por reclamações de titulares de dados pessoais e 64.684 foram originados por notificações de incidentes de segurança da informação. O restante trata de outras atividades conduzidas pelas autoridades, como consultas gerais. Dos casos tratados pelas autoridades, 52% já foram solucionados e apenas 1% deles foram levados para o Judiciário.
As medidas de correção aplicadas foram avisos para controladores e operadores quando verificada uma possibilidade de violação à GDPR; advertências para controladores e operadores quando verificada uma efetiva violação à GDPR; ordem para que controladores e operadores cumpram com pedidos dos titulares de dados pessoais ou adequem suas operações de tratamento de dados; e multa (total de € 55.955.871).
Além do relatório do EDPB, trazem também números interessantes os relatórios das autoridades supervisoras já publicados da Holanda e da Irlanda. Pelo relatório holandês, que trata do período de 25 de maio a 25 de novembro de 2018, a autoridade recebeu 9.661 reclamações de titulares de dados pessoais, sendo:
32% | Violações a direitos de titulares, como direito de acesso e direito a eliminação de dados pessoais |
15% | Dados coletados em excesso para determinada finalidade |
12% | Compartilhamento indevido de dados pessoais (sem Informação, consentimento ou contra a vontade dos titulares) |
9% | Marketing direto |
7% | Vazamento de dados não notificado |
6% | Uso abusivo/ indevido de câmeras de seguranças |
Outros | Cookies, dados de crianças, dados sensíveis, etc. |
Pelo relatório irlandês, que trata do período de 25 de maio a 31 de dezembro de 2018, a autoridade recebeu 2.864 reclamações de titulares de dados pessoais, sendo também a maioria a respeito de violação de direitos de acesso de titulares de dados pessoais. Tal relatório também descreve a natureza dos 3.687 incidentes de segurança da informação notificados:
3134 | Revelação não autorizada |
196 | Papeis roubados ou perdidos |
116 | Hacking |
107 | Phishing |
72 | Equipamentos perdidos ou roubados |
32 | Malware |
30 | Uso inapropriado de papeis |
Por fim, foi publicada uma decisão interessante da autoridade supervisora polonesa, que condenou uma empresa de marketing digital que não cumpriu com obrigações relacionadas ao atendimento dos direitos de titulares ao pagamento de multa no valor de € 220 mil e à incumbência de contatar por carta registrada os quase 6 milhões de titulares de dados pessoais afetados, a um custo estimado de € 8 milhões.
Assim sendo, os trabalhos para organização de dados pessoais para o pronto atendimento aos direitos de titulares previstos no art. 18 da LGPD (incluindo, dentre outros, acesso, correção, eliminação e portabilidade) deverão ser priorizados, assim como as medidas para evitar incidentes de segurança da informação. Com relação a esse último ponto, considerando que a maior parte dos incidentes ocorre por conta de revelações não autorizadas, é importantíssimo realizar treinamentos constantes de segurança da informação para a incorporação da cultura de proteção de dados nas empresas.
Dessa forma, com base nos relatórios europeus, conseguimos ter uma ideia de como o mercado brasileiro deverá comportar-se no início da vigência da LGPD. As empresas que não se adequarem, além dos efeitos imediatos de perda de contratos, abalos na reputação e desvantagem competitiva, estarão sujeitas às duras penalidades administrativas e judiciais.
* Luiza Sato, sócia conselheira do ASBZ Advogados, responsável pelas áreas de Proteção de Dados, Direito Digital e Propriedade Intelectual
Fonte: Convergencia Digital