LGPD: mau uso de dados pode render multa de até R$ 50 milhões
A partir deste domingo, a Autoridade Nacional de Proteção de Dados poderá fiscalizar e punir o uso irregular de dados no Brasil
Tecnologia e Ciência|Fábio Fleury, do R7
A partir desta domingo (1º), a implantação da LGPD (Lei Geral de Proteção de Dados) entra em uma nova e decisiva fase. Agora, as sanções que estão previstas na lei, que vão de advertências a multas pesadas e incluem até perda de acesso a bancos de dados, poderão ser colocadas em prática nos casos de violação.
Leia também: Entenda o que diz a Lei Geral de Proteção de Dados
Na prática, a ANPD (Autoridade Nacional de Proteção de Dados) vai ocupar definitivamente o papel de ser responsável por fiscalizar e fazer cumprir a LGPD e mediar os problemas entre as pessoas físicas que são donas dos dados (chamadas de 'titulares') e as diversas empresas que armazenam e utilizam esses dados.
A LGPD garante o respeito à privacidade, o direito à informação, a liberdade de expressão, a inviolabilidade da intimidade e da imagem, o desenvolvimento econômico e tecnológicoi, a livre iniciativa e defesa do consumidor, e a defesa dos direitos humanos e da dignidade.
"Quando a gente fala de uso de dados pessoais, pode ser um escritório, um cadastro em um salão de beleza, bancos de dados de grandes empresas, o meio de uso pode ser desde um perfil digital até uma caderneta, uma ficha em um RH. Muita gente acha que é coisa só de internet, mas qualquer informação que você armazena de uma pessoa é coberta pela LGPD, se uma empresa recebe um atestado e deixa isso vazar, é uma violação da lei", explica a especialista em TI e DPO (Data Protection Officer) Consuelo Rodrigues.
Os dados e sua proteção
O mau uso desses dados também pode vir de diversas formas. O vazamento de informações pessoais é um deles, mas também não oferecer ao titular a opção de parar de receber contatos indesejados oferecendo produtos em seu e-mail ou celular também poderá causar sanções por parte da ANPD.
"O primeiro foco é a educação das pessoas e empresas, a criação de uma cultura de proteção de dados no Brasil. Agora podemos ter casos exemplares, que vão desde uma advertência a uma multa. E tem outros tipos de sanções que podem ser até piores, como bloqueio parcial ou total da base de dados", detalha Consuelo.
Caso aplicadas, as multas financeiras podem chegar a até 2% do faturamento declarado pela empresa no ano anterior, sendo o limite máximo de R$ 50 milhões. Ou seja, se o faturamento foi de R$ 1 milhão em 2020, a empresa que violar as regras pode pagar multa de até R$ 20 mil por violação. É importante lembrar que as punições podem ser acumuladas.
Segundo a advogada Tatiana Campello, no primeiro momento a ANDP deverá focar mais em criar as regulamentações e procedimentos de investigação para depois passar para a aplicação de sanções mais pesadas..
"Você imagina que as primeiras sanções sejam mais disciplinares, mas não existe uma obrigação de escalonar. Se houver problema, a ANPD pode tanto solicitar esclarecimentos, quanto receber denúncias e investigar. Ainda não está tudo definido, a agência vai construindo o regulamento que vai determinar como as sanções vão ser aplicadas, cria um procedimento. Havendo uso não autorizado dos dados, a ANPD vai poder indicar a medida a ser tomada para aplicar a sanção, pode ser uma multa, um termo de ajuste de conduta, restrição de uso", explica a advogada.
A lei, considerada um marco histórico, foi aprovada em agosto de 2018 e entrou em vigor em 18 de setembro do ano passado. Tatiana alerta, no entanto, que o período para as empresas se adequarem à nova legislação se encerra agora.
"Elas já têm que estar adequadas deste a entrada em vigor. A partir do momento que a ANPD vai poder aplicar as sanções, as empresas vão ter que começar a prestar contas de uma maneira diferente. Como isso vai ser aplicado está sendo definido, ainda não existe uma correlação de ‘fez isso, acontece aquilo'. É uma jurisprudência que vai começar a ser estabelecida", detalha.
Isso não significa, no entanto, que punições com base na LGPD já não estejam acontecendo no Brasil, por meio da Justiça comum. Desde setembro do ano passado, mais de 600 decisões judiciais já foram proferidas para casos envolvendo problemas no uso de dados.
Em julho, uma rede de farmácias no Mato Grosso recebeu uma multa de mais de R$ 570 mil do Procon-MT por coleta irregular de dados dos clientes. Os funcionários orientavam os consumidores a passarem dados pessoais e impressões digitais com a desculpa de abrir ou atualizar cadastros que proporcionavam descontos, sem explicar adequadamente que autorização eles precisavam conceder nem para onde iam os dados.
"A LGPD não impede uso de dados pessoais, mas cobra um uso ético, com responsabilidade e preservando a reputação e privacidade dos titulares. A pessoa pode pedir para saber os dados, apagar dependendo da circunstância. Muita gente acha que dados são só o número do RG ou a impressão digital, mas dados indiretos como placas de carro e IPs de navegação também são contemplados pela lei", acrescenta Consuelo Rodrigues.
Um ponto importante a ressaltar, segundo ela, é que as empresas não podem extrapolar no momento de pedir os dados dos clientes. "O CPF é uma opção pessoal dar ou não, se a pessoa quiser um desconto. Mas se a farmácia pedir uma biometria, por exemplo, é uma violação de privacidade. Existe um limite dos dados, não é lícito você ter que informar qualquer identificação obrigatoriamente, a não ser no caso dos remédios controlados", conta.