Depois de muita confusão, "LGPD" a Lei Geral de Proteção de Dados finalmente entrou em vigor na última sexta-feira, dia 18 de setembro. Ainda há muitas dúvidas e muita desinformação a respeito da Lei e a maior parte das empresas parece não saber o que fazer.
As empresas estão divididas em 3 grupos: as que não fazem ideia do que é a LGPD, as que acham que a LGPD não vai “pegar” e as que já entenderam que estão atrasadas e que precisam se mexer. Ah, tem um quarto grupo, mas que, como é minúsculo, quase me esqueci de mencionar: as que já estão adequadas às exigências da lei.
Um dos mitos que cerca a LGPD é o de que “por enquanto não dá nada”. Essa confusão está acontecendo porque as multas e demais sanções da LGPD ficaram para agosto do ano que vem. Mas isso não quer dizer que as empresas que não estiverem adequadas estão livres de encrenca.
“Como assim, Raphael? Se não tem multa, por que eu devo me preocupar?”
Bom, se você ainda está se fazendo essa pergunta, acho que não adianta eu falar dos danos à reputação e à imagem da sua empresa, porque isso parece não te preocupar. Então vamos ao outro problema: ações judiciais, administrativas e arbitrais.
“Eita. Ações judiciais?”
Sim. Com a lei em vigor, você tem que obedecê-la. Se não estiver obedecendo e alguém sofrer algum dano, seja material ou moral, pode ter que indenizar a vítima. Isso pode ocorrer, por exemplo, em ações decorrentes de relações de consumo ou de relações de trabalho.
Pois é. Talvez você já tenha ouvido falar nas chamadas “ações trabalhistas”. São muuuuito raras, mas existem. E pode ter certeza que aquela parte dos “danos morais” agora vai chegar mais gordinha, com pedidos relativos ao uso indevido de dados pessoais.
Em um evento recente da Associação Nacional dos Magistrados da Justiça do Trabalho, o juiz Leandro Fernandez, do TRT-6, já deu o recado: disse que, além de todos os seus outros deveres constitucionais, a Justiça do Trabalho também será a “Justiça dos dados pessoais”.
Também não vão faltar ações decorrentes de relações de consumo. Antes mesmo da lei entrar em vigor, já havia pelo menos 3 ações relativas a dados pessoais tramitando em Santa Catarina. Vale lembrar que, de acordo com o Código de Defesa do Consumidor, nem é necessário que sua empresa tenha efetivamente fornecido algum produto ou serviço para o sujeito, pois existe a figura do chamado “consumidor por equiparação”.
O portal Reclame Aqui, destinado a reclamações de consumidores, já tem centenas de reclamações citando a LGPD. As queixas incluem, principalmente, pedidos de exclusão de dados pessoais e reclamações em relação à prática de spam (por telefone e e-mail).
Não podemos nos esquecer das ações coletivas, movidas pelos ministérios públicos, Procons, associações e sindicatos, por exemplo. Mesmo antes da existência dessa lei, o Ministério Público do Distrito Federal já tinha sua Unidade Especial de Proteção de Dados e Inteligência Artificial - que, aliás, já protocolou a primeira ação civil pública com base na LGPD.
“Entendi. Mas como assim ações administrativas se as sanções ficaram pro ano que vem?”
As sanções da LGPD ficaram para o ano que vem, mas as das outras leis já estão valendo. Multas previstas no Código de Defesa do Consumidor e no Marco Civil da Internet, por exemplo, já vêm sendo aplicadas há anos. A ação do próprio Ministério Público do Distrito Federal, que mencionei ali em cima, resultou na aplicação de multa de R$ 1,5 milhão ao Banco Inter. As sanções da LGPD, que incluem multas de até R$ 50 milhões, são as únicas que ainda não podem ser aplicadas.
“E essa história de ações arbitrais. Só vejo isso em ações entre empresas...”
Realmente, as ações arbitrais são mais comuns entre empresas - e empresas não são titulares de dados pessoais. Mas não se esqueça que, se uma pessoa jurídica causar dano a outra, pode ter que indenizá-la. Então é bem provável que comecemos a ver ações arbitrais buscando a reparação de danos decorrentes do mau uso de dados pessoais.
“Ok, me convenceu. Como eu começo?”
O ideal é buscar uma consultoria especializada, com amplo conhecimento não apenas da LGPD, mas também das outras leis e normas aplicáveis. Vale lembrar que a proteção de dados é multidisciplinar, envolvendo áreas como TI, RH, segurança da informação e governança.
Se ficou com alguma dúvida!
Caso sua empresa não tenha condições para contratar serviços profissionais para a adequação à LGPD ou prefira correr o risco de uma solução caseira, vão aqui algumas dicas:
- Nomeie um encarregado de proteção de dados, o famoso DPO. Essa é uma obrigação legal que deve ser cumprida o quanto antes, pois o encarregado é essencial para o processo de adequação.
- Crie um canal de atendimento para os titulares de dados. É uma obrigação relativamente simples de resolver e essencial para atender a diversos requisitos legais, como o de receber reclamações e solicitações relativas ao tratamento de dados. Pode ser até um e-mail, o importante é fazer alguma coisa.
- Identifique quais são os dados pessoaisque a sua empresa trata e quais são os tratamentos feitos com eles (coleta, armazenamento, utilização, transferência, eliminação, etc.).
- Revise todos os contratos com clientes, fornecedores, empregados e terceiros. É importante manter os titulares de dados informados sobre os tratamentos realizados e seus direitos. Mais que isso, é essencial assegurar que seus fornecedores terão os mesmos cuidados com os dados que você compartilhar com eles.
- Crie uma política de privacidade e proteção de dados. Contate o advogado da sua empresa e diga que você precisa disso para já. Sempre bom lembrar que essa política não deve ser copiada de outra empresa, pois copiar errado é pior do que não ter.
Boa sorte e mãos à obra!
Raphael Di Tommaso – Advogado Especialista em Direito Digital e Proteção de Dados