Questionamento frequente feito pelo empresariado e instituições, de modo geral, diz respeito às consequências da inadequação à nova Lei Geral de Proteção de Dados (LGPD). Desde já, tem-se que a não observância da Lei pode implicar sanções pecuniárias, condenações judiciais, suspensão, proibição parcial ou total do exercício de atividades, perda de valor de mercado e danos à imagem das organizações perante seus clientes, colaboradores, associados, dentre outros stakeholders, em sua maioria, os titulares[1] de dados.
De início, já se proteja que os titulares de dados podem – e devem – exercer seus novos direitos previstos pelos arts. 17 e seguintes, que englobam, entre outros, o acesso, correção, anonimização, portabilidade ou eliminação de dados pessoais, além de informações sobre com quais entidades seus dados são compartilhados, bem como sobre a possibilidade de negar ou revogar seu consentimento para dadas hipóteses.
Já diante de tais situações, a organização em desconformidade com a Lei não saberia como atender a tais solicitações, das quais podem suceder o desgaste do indivíduo com a entidade controladora dos dados, reclamações às Autoridades ou até o ajuizamento de uma demanda individual.
As infrações à LGPD podem decorrer de incidentes de segurança (data breach) e/ou do uso irregular[2] dos dados pessoais[3], seja pela ausência de base legal capaz de respaldar uma hipótese de tratamento de dados pessoais, seja por eventual excesso ou abuso no tratamento de dados, ainda que embasado, ou até mesmo pela inobservância das normas de segurança e boas práticas[4].
Diante da ocorrência de algum ilícito, portanto, há a possibilidade de aplicação de diversas sanções pela Autoridade Nacional de Proteção de Dados (ANPD). A LGPD prevê que o processo sancionatório estatal terá início a partir do recebimento de reclamações ou petições do próprio titular dos dados pessoais não solucionadas no âmbito privado, isto é, não solucionadas em contato direto com as entidades responsáveis pelo tratamento de dados.
A partir de então, a situação concreta será analisada pela ANPD e poderão ser aplicadas as sanções administrativas previstas no art. 52, que variam desde a advertência, multa simples e/ou mesmo diária quantificada(s) em até 2% do faturamento da pessoa jurídica, grupo ou conglomerado, limitadas a R$ 50.000.000,00 (cinquenta milhões de reais) por infração.
De igual destaque, é possível também a proibição total do exercício de atividades relacionadas ao tratamento irregular dos dados pela entidade condenada – o que pode impossibilitar as operações de determinado negócio ou atividade –, bem como a determinação de publicização da infração, que pode acarretar dano reputacional à entidade.
Para além da possibilidade de haver atuações paralelas à da ANPD na própria esfera administrativa – a exemplo da atuação da Secretaria Nacional do Consumidor (Senacon) e de outros órgãos de viés consumerista –, a Lei possibilita que as sanções administrativas sejam cumuladas com responsabilizações nas esferas cível e penal.
No âmbito judicial, percebe-se que a judicialização dos litígios que envolvem a proteção de dados tem sido, inclusive, uma tendência recente no contexto brasileiro, em função da lacuna existente entre a vigência das normas da Lei e a efetivação das sanções administrativas, cuja vigência foi prorrogada para agosto de 2021. Com protagonismo, o Poder Judiciário passa a ser demandado a preencher essa lacuna.
Foi o que ocorreu, conforme noticiamos anteriormente, em outubro de 2020, quando o Juízo da 13ª Vara Cível da Comarca de São Paulo condenou uma das maiores empresas do ramo imobiliário brasileiro a indenizar, por danos morais, titular de dados pessoais compartilhados indevidamente pela empresa imobiliária com empresas parceiras.
Para além das demandas judiciais individuais de titulares de dados pessoais – que se espera que sejam projetadas inclusive ao âmbito dos juizados especiais cíveis –, o Ministério Público tem atuado no âmbito coletiva via ações civis públicas, como no caso em que a empresa vendedora de dados pessoais via plataforma online Mercado Livre foi obrigada a interromper o repasse de tais informações por força de tutela de urgência obtida pelo MPDFT baseada na LGPD.
Anteriormente, o MPDFT já havia ajuizado a primeira ação civil pública fundada na LGPD no dia seguinte ao início de sua vigência.
É relevante lembrar que as organizações têm se deparado com uma consequência ainda mais delicada: o dano reputacional causado pelos incidentes de segurança e pela prática de outros ilícitos relacionados à proteção de dados pessoais, que tende a ser cada vez maior à medida em que houver maior conscientização por parte dos titulares de dados sobre o tema. Dessa forma, em regime concorrencial, diz-se que o “mercado” pode ser o agente mais severo na seleção – e punição – das empresas.
É o que se verifica da análise[5] do caso da franquia americana Target, rede varejista que, em 2013, sofreu um vazamento e ainda no ano de 2018 não havia recuperado integralmente seu índice de reputação positiva perante seus consumidores.
Ainda, existem consequências econômicas desvinculadas da aplicação de multas, sanções e responsabilizações. É o que apontou uma pesquisa[6] conduzida pelo Kaspersky Daily, na qual se demonstrou que o custo médio de incidentes de cibersegurança para empresas de pequeno e médio porte, entre março de 2017 e fevereiro de 2018, foi de USD 120.000,00 [4].
Vale observar, em última análise, que há a perda da oportunidade de se gerar maior valor à marca ou à imagem da empresa, sob regime competitivo, a partir do engajamento às alterações legislativas e aos direitos de seus stakeholders, à semelhança do efeito projetado para a (in)adequação de uma organização às políticas ESG (environmental, social, governance), isto é, políticas de sustentabilidade.
Em vista desse cenário, evidente que a atuação preventiva, apesar de ainda não constar dentre as prioridades de muitos quadros de diretores brasileiros, se revela a mais adequada à mitigação de riscos e até de custos relacionados à nova Lei Geral de Proteção de Dados. A esse respeito, conheça mais a atuação do Torreão Braz Advogados aqui.
[1] Art. 5º Para os fins desta Lei, considera-se:
V – titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;
[2] Art. 44. O tratamento de dados pessoais será irregular quando deixar de observar a legislação ou quando não fornecer a segurança que o titular dele pode esperar […]
[3] Art. 5º Para os fins desta Lei, considera-se:
I – dado pessoal: informação relacionada a pessoa natural identificada ou identificável;
[4] Art. 46. Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.
[5] https://blogvaronis2.wpengine.com/company-reputation-after-a-data-breach/
[6] https://www.kaspersky.com/blog/economics-report-2018/22486/?utm_source=linkedin%20.%20Acesso%20em%2022/09/2020