Empresas e órgãos públicos de Guapimirim devem de se ajustar à Lei Geral de Proteção de Dados

Guapimirim – Está em vigor desde 18 de setembro de 2020 a Lei Geral de Proteção de Dados (LGPD) – Lei nº 13.709/2018 –, que estabelece uma política de transparência acerca do uso, do armazenamento e do vazamento de dados de pessoas físicas e jurídicas no Brasil. A vigência e a execução da nova lei seguem etapas, para que as instituições possam se adaptar e providenciar as medidas necessárias para garantir o cumprimento da mesma. Passou a valer mais de dois anos após sua sanção, no entanto, as sanções por violações à proteção de dados só passam a valer a partir de agosto de 2021. A nova legislação completará 3 anos no próximo dia 14 de agosto. Apesar disso, muitas empresas, o poder público e organizações do terceiro setor, de modo geral, Brasil afora ainda não estão preparados. A obediência à LGPD é válida para todos que possuam um Cadastro Nacional de Pessoa Jurídica (CNPJ), independentemente do porte da empresa e da localidade situada. É válida tanto para as grandes cidades quanto para as pequenas, e isso inclui Guapimirim, na Região Metropolitana, com uma população estimada em 61.388 habitantes e pouco mais de 358 quilômetros quadrados de território, conforme dados do Instituto Brasileiro de Geografia e Estatística (IBGE).

‘Você sabe o que é a LGPD? Nunca vi nem li, eu só ouço falar’. A paródia à música do cantor Zeca Pagodinho ilustra bem a realidade do país sobre a Lei Geral de Proteção de Dados. A lentidão de muitas empresas para se ajustar à nova legislação pode ser explicada sob várias óticas:

1) muitas empresas e instituições não se preocuparam em conhecer a nova lei para analisar os potenciais riscos em caso de descumprimento e/ou de violação.

2) os custos – que podem ser elevados – para capacitar funcionários na gestão dos dados de terceiros e/ou até mesmo a contratação de servidores, de empresas de consultoria em segurança digital e de advogados para orientar sobre o assunto.

3) a certeza da impunidade em caso de violação, tendo em vista que no Brasil há leis que ‘pegam’ e outras não. Um exemplo típico é sobre o uso de celulares em agências bancárias no estado do Rio de Janeiro, algo proibido desde 2011. Mesmo assim, é comum ver pessoas falando ao telefone ou usando aplicativos. Outro exemplo é o tempo excedido em filas de banco em dias de pico. O tempo limite varia, conforme leis locais.

4) a crença de que a empresa não passará por nenhum tipo de situação de descumprimento ou violação legal.

É preciso ter em mente que os custos de prevenção, na verdade, são investimentos. E mesmo que altos, sempre serão mais baratos do que os pagamentos de eventuais multas e/ou indenizações por infração à LGPD. A multa pode chegar a 2% do faturamento bruto do ano anterior, estando limitada ao montante de R$ 50 milhões.

Os prejuízos acarretados por violação à nova legislação vão desde o econômico à reputação de uma empresa, conforme o artigo 52. Além da possibilidade de multa milionária, a entidade infratora poderia ficar proibida de tratar dados por um período de até seis meses. Em tese, se fosse uma farmácia, por exemplo, ela poderia fica impedida de conceder descontos em medicamentos aos consumidores, já que teria de acessar dados como CPF. No caso de banco, impedido de fazer empréstimos, fornecer cartões de crédito e abrir contas, pois precisaria acessar dados dos clientes para consultar se está com nome limpo ou não. Cabe destacar que tudo isso em teoria, tendo em vista a gravidade das violações depende do tipo de informações vazadas e da subjetividade da interpretação da recém-criada Autoridade Nacional de Proteção de Dados (ANPD), responsável por avaliar os casos recebidos, vinculada à Presidência da República.

O estabelecimento infrator poderá também sofrer danos à imagem institucional, com a perda de confiança perante os consumidores e seu público, por não ter conseguido garantir a proteção dos dados que dispõem. A LGPD estabelece que as informações em poder das instituições são dos titulares, não delas.

São considerados dados: números de identidade, de CPF e de telefones, ideologia, orientação sexual, informações sobre o quadro clínico de pacientes num hospital, de consumo de clientes, contas bancárias e cartões de crédito, senhas, IP de computadores, navegação na internet, entre tantos outros. Quando um internauta está ‘logado’ no Gmail e faz buscas no Google, a depender das configurações, poderá ter seus acessos registrados. No facebook não é diferente. O aplicativo poderá ter informações sobre bancos que o usuário tem conta, por exemplo. Ao acessar por determinados sites, é comum ver notificações se o internauta autoriza a retenção de informações como geolocalização, software do computador etc.

Mas, isso não se resume a dados de consumidores. A aplicação da LGPD começa dentro da própria empresa, órgão público ou organização não governamental, com a proteção de dados sobre funcionários, colaboradores e também em questões fiscais. Até mesmo um cadastro feito à caneta, por exemplo, deve ser protegido. Isso significa que dados são quaisquer informações a respeito de indivíduos, tanto por meios digitais quanto pelos manuais.

As pessoas jurídicas sempre tiveram acesso a dados sensíveis ou sigilosos de terceiros. A novidade é que elas devem informar como os utiliza, se os repassa a parceiros comerciais ou não e em caso de ataques cibernéticos terão de informar aos titulares afetados.

“A Lei Geral de Proteção de Dados é um capítulo da história da república que estava faltando e que se coloca como uma necessidade para um modelo de sociedade civilizatória. Ela tem, acima de tudo, o objetivo de proteger o cidadão, os dados, a identidade, a personalidade, as informações inerentes ao exercício da cidadania. Daí, a importância de ter mecanismos de controle e também mecanismos sancionatórios que possam levar as grandes forças econômicas a se posicionarem positivamente a favor da própria lei e de seus fundamentos”, opinou ao O Dia o advogado Carlos Nicodemos, do escritório Nicodemos & Nederstigt Advogados Associados.

É importante prestar atenção à sigla LGPD para não confundir com LGBT, sendo esta última usada para gays, lésbicas, bissexuais, travestis e transexuais. A Lei Geral de Proteção de Dados (LGPD) brasileira foi inspirada na Regulação Geral de Proteção de Dados (GRPD, na sigla em inglês), aprovada pela União Europeia em abril 2016 e está em vigor desde maio de 2018.

Embora a LGPD vise dar mais transparência ao uso de dados e às punições em caso de violações e descumprimentos, é ambígua em relação direitos dos consumidores e demais tipos de titulares prejudicados. A nova legislação estabelece que as multas sejam destinadas ao Fundo de Defesa dos Direitos Difusos – ligado ao Ministério da Justiça e Segurança Pública –, porém não especifica percentuais de indenização aos titulares que tiveram os dados vazados. O artigo 42 da LGPD permite a possibilidade de reparos econômicos aos clientes afetados, cuja aplicação se daria com base no artigo 14 do Código de Defesa do Consumidor (Lei nº 8.078/1990) e no artigo 3º Marco Civil da Internet (Lei nº 12.965/2014). É preciso ter em mente que as vítimas são os titulares das informações ‘hackeadas’, não o referido fundo.

Em Guapimirim há um problema: não existe Procon. Os titulares prejudicados precisariam recorrer a unidades em outras cidades, como Rio de Janeiro ou Magé, por exemplo.

O estabelecimento alvo de ataques cibernéticos deverá informar à ANPD sobre o ocorrido, o impacto e os tipos de informações roubadas e as medidas adotadas para resolver o problema. Ela poderá se livrar de sanções, caso comprove que os vazamentos foram de exclusiva responsabilidade dos titulares. As vítimas também poderão peticionar contra a empresa ou poder público perante o novo órgão fiscalizador e também nos órgãos de defesa do consumidor. Funcionários e empresas terceirizadas em gestão e armazenamento de dados poderão também sofrer sanções legais.

As sanções por obtenção de dados de terceiros não se aplicam se for para fins particulares, jornalísticos, artísticos, acadêmicos, de segurança pública e de defesa nacional, segundo o Procon do estado de São Paulo (Procon SP).