Embora a Lei Geral de Proteção de Dados – LGDP – tenha entrado em vigor em 18 de setembro de 2020, somente a partir de 1º de agosto de 2021 a Autoridade Nacional de Proteção de Dados – ANPD – está autorizada a aplicar penas administrativas àqueles que forem flagrados violando suas disposições legais.
Neste sentido, muito tem se falado a respeito da tão temida multa de R$ 50 milhões!! No entanto, além da multa, a lei elenca outras formas graduais de punição, que se iniciam na aplicação de advertências, passam pela publicização do fato infrator e alcançam até mesmo medidas restritivas, como a proibição do exercício de atividades relacionadas a dados pessoais.
Muito embora o vultoso valor do teto máximo da multa tenha grande força coercitivo-pedagógica, algumas das punições previstas podem causar impactos ainda mais lesivos, especialmente às empresas de tecnologia, onde dados pessoais possuem relevância semelhante ao carvão na Revolução Industrial.
Vale destacar que as penalidades serão aplicadas pela Coordenação Geral de Fiscalização da ANPD somente após procedimento administrativo que oportunize a ampla defesa do Autuado, sendo tais penalidades gradativas, aplicadas de forma isolada ou cumulativa, de acordo com as peculiaridades do caso concreto e considerando:
- a gravidade e a natureza das infrações e dos direitos pessoais afetados;
- a boa-fé do infrator;
- a vantagem auferida ou pretendida pelo agente;
- sua condição econômica;
- reincidência do agente;
- o grau do dano causado e de cooperação com o procedimento investigativo;
- a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano provocado, bem como de políticas de boas práticas e governança;
- a pronta adoção de medidas corretivas em casos de incidentes; e
- a proporcionalidade entre a gravidade da falta e a intensidade da sanção.
Recentes declarações da ANPD indicam que, neste primeiro momento, a agência deve fazer uso de multas e demais medidas restritivas apenas como recurso extremo, priorizando sua função orientativa, atuando por meio de notificações e advertências, estimulando, assim, a cultura de privacidade.
A despeito da postura educativa adotada pela ANPD, certamente situações mais graves estarão sujeitas a punições severas, não apenas por parte da Agência, mas também do Poder Judiciário e demais órgãos fiscalizadores, como Ministério Público e Agências de Defesa do Consumidor, que já têm atuado de forma incisiva na proteção dos direitos dos titulares de dados pessoais.
Recente pesquisa divulgada pela Fundação Dom Cabral mostra que 40% das empresas consultadas ainda não se adequaram à Lei, valendo destacar que processos de adequação exigem muita energia e dedicação, cuja conclusão leva ao menos 8 meses.
Dentro deste contexto, é imprescindível que as empresas que ainda não iniciaram o processo de adequação estejam cientes das obrigações impostas pela Lei, especialmente quanto aos direitos assegurados aos titulares de dados, quais sejam:
- confirmação da existência de tratamento;
- acesso aos dados mantidos pelo controlador;
- correção de dados incompletos, inexatos ou desatualizados;
- anonimização, bloqueio ou eliminação de dados, desde que sejam considerados desnecessários, excessivos ou tratados em desconformidade com o disposto na LGPD;
- portabilidade de seus dados pessoais a outro fornecedor de serviço;
- eliminação dos dados pessoais quando retirado o consentimento dado anteriormente;
- relação de com quem seus dados foram compartilhados;
- informação de que poderá negar consentimento e quais suas consequências;
- revogação do consentimento.
Cumpre esclarecer que, ao permitir o tratamento de seus dados pessoais, o titular não transfere a condição de dono de seus próprios dados, sendo nulas eventuais disposições contratuais neste sentido.
Outro ponto sensível e que precisa estar no radar dos agentes de tratamento diz respeito aos processos que envolvam tomada de decisões automatizadas com base na análise desses dados, pois nesses casos é assegurado ao titular o direito de solicitar a revisão dessas decisões.
Caso o titular não se sinta atendido em relação aos seus direitos, a Lei lhe assegura o direito de peticionar contra o agente de tratamento diretamente à ANPD, que poderá dar ensejo a procedimento administrativo, a fim de apurar as condutas denunciadas.
Buscando o atendimento destes direitos, é altamente recomendável que mesmo aquelas empresas que ainda não tenham dado início ao processo de adequação estabeleçam um canal de contato direto com os titulares, buscando assim compreender e priorizar as principais demandas a serem solucionadas.
Para tanto, uma alternativa que soa razoável é a nomeação de um Encarregado de Proteção de Dados/DPO, que é a pessoa indicada pelo controlador para atuar como seu canal de comunicação com os titulares dos dados e a ANPD. Além do dever de aceitar reclamações e comunicações dos titulares, cumpre ao Encarregado prestar-lhes esclarecimentos e adotar as providências necessárias, receber eventuais comunicações da ANPD, orientar a respeito das práticas a serem tomadas em relação à proteção dos dados pessoais e executar as demais atribuições determinadas pelo Controlador ou estabelecidas na Lei.
Muito embora a necessidade de indicação do Encarregado ainda esteja pendente de regulamentação, nomeá-lo pode significar um importante passo na identificação dos gargalos da empresa em relação aos processos de tratamento de dados.
Por óbvio que tal providência não encerra o processo de adequação. Pelo contrário, a indicação do Encarregado é uma das formas de se iniciar um processo que exigirá muito estudo, esforço e dedicação, mas que ao final recompensará a empresa com a segurança necessária para que exerça suas atividades de forma lícita e sem intercorrências indesejadas.
Fonte: Estadão - Acesse aqui | Download PDF