Paola Luongo Lorenzetti*
Heloísa Helena de Paula Cunha**
Em vigor desde setembro de 2020, todas as empresas públicas e privadas, sejam grandes ou pequenas, que realizem o tratamento de dados pessoais, devem estar adequadas à Lei Geral de Proteção de Dados – LGPD (Lei nº 13.709/18). Tal adequação inclui adotar medidas técnicas e administrativas capazes de garantir a segurança dos dados pessoais, eliminar dados pessoais quando não houver hipótese legal que autorize o tratamento, cumprir os direitos dos titulares dos dados, fornecer informações claras, precisas e facilmente acessíveis sobre o tratamento realizado pela empresa, dentre outros requisitos legais.
As multas em razão do descumprimento da LGPD podem chegar a 2% da receita da empresa, até o limite de R$ 50 milhões, sem contar os danos reputacionais que uma penalidade ou eventual vazamento de dados podem causar à imagem da empresa.
Por mais que a lei já tenha quase 2 anos de vigência, muitas empresas ainda encontram desafios ao se adequar à LGPD, sendo que, de acordo com uma pesquisa desenvolvida pela Alvarez & Marsal, HLFMap, Privacy Tools, Serur Advogados e ABNT, que estudou o nível de maturidade das empresas brasileiras em sua adequação à LGPD, de 366 empresas entrevistadas (em diferentes estágios de crescimento e de setores diversos), apenas 9,8% consideram já ter atendido de 81% a 100% dos requisitos legais da lei.
Desafios das empresas com a LGPD
Conforme melhor explicado abaixo, além da falta de definição clara dos aspectos da lei, a falta de recursos financeiros e de uma cultura organizacional que priorize a privacidade são os principais desafios apontados pelas empresas que estão atrasadas em sua adequação.
Falta de Entendimento dos Aspectos da Lei
De acordo com a pesquisa, a falta de entendimento dos aspectos da lei é um dos principais desafios das empresas com a LGPD. Isso porque, a maioria sequer sabe se realiza atividade de tratamento de dados pessoais ou não. Ocorre que, de acordo com o disposto na LGPD, salvo raras exceções, tratamento é qualquer atividade realizada com um dado pessoal, que por sua vez, é qualquer dado que identifica, direta ou indiretamente, uma pessoa.
Desse modo, é pouco provável que uma empresa não realize tratamento de dados pessoais e, portanto, não esteja sujeita à LGPD, já que o simples acesso a uma informação de um funcionário é uma operação considerada como tratamento pela lei brasileira.
De acordo com a LGPD, sempre que uma operação envolver dados pessoais, seu tratamento deve estar fundamentado em pelo menos uma das hipóteses definidas pela lei, sendo as mais utilizadas pelas empresas as seguintes:
(i) Consentimento (do titular dos dados);
(ii) Cumprimento de uma obrigação legal ou regulatória;
(iii) Execução de um contrato,
(iv) Exercício regular de direito; e
(v) Legítimo interesse do responsável pelos dados ou de terceiros, desde que não resulte em violação aos direitos fundamentais do titular dos dados.
Ainda, no setor financeiro, outra base também muito utilizada é a (vi) Proteção do crédito.
O primeiro passo para iniciar a adequação, portanto, é entender os conceitos básicos estabelecidos pela LGPD e estar ciente que sua empresa precisa se adequar.
Falta de Recursos Financeiros
Um projeto de adequação demanda organização, tempo e gerenciamento, além de gastos com consultorias especializadas, treinamentos, implementação de plataformas e sistemas etc. Quanto maior a empresa, muito provavelmente maiores serão os desafios e recursos necessários a uma adequação completa.
No entanto, vale dizer que tais custos devem ser considerados investimento, já que estar em conformidade com a LGPD não tem como única vantagem evitar as penalidades impostas na lei. De fato, a adequação melhora a reputação da empresa no mercado e garante vantagem competitiva àqueles que saem na frente.
Embora a falta de recursos financeiros tenha sido apontada pelas empresas como um dos principais desafios para a adequação, os benefícios percebidos pelas organizações que já se adequaram se sobrepõem, inclusive financeiramente, já que, com a organização dos dados, a empresa tem uma melhora significativa em sua administração geral, conforme apontou o Sebrae em 2020.
Ausência de Cultura de Proteção de Dados
Outro desafio apontado para estar em conformidade com a lei é a falta de uma cultura de proteção de dados da empresa. A pesquisa destacou que, embora a maioria das empresas reconheçam os benefícios de estarem em conformidade com a LGPD, a privacidade não está na cultura organizacional das empresas brasileiras.
Para assegurar a integridade dos dados pessoais tratados durante a execução de suas atividades, é indispensável que as empresas estabeleçam uma cultura de governança de dados, que adotem todas as medidas operacionais e de segurança da informação. É necessário o exemplo da liderança para que a proteção de dados pessoais se torne uma prioridade dentro das organizações.
Além disso, também é essencial o envolvimento de todos os funcionários e prestadores de serviços, que deverão estar cientes de todas as práticas adotadas pela empresa para assegurar que a privacidade e os dados pessoais dos titulares de dados estão sendo devidamente tutelados.
Adequação por Setores
O setor de atividades financeiras, seguros e serviços relacionados é o pioneiro na adequação à LGPD, sendo que 37,5% das empresas desse segmento consideram ter entre 81% e 100% dos requisitos da lei atendidos.
Esse pioneirismo pode ser atribuído, em parte, pela alta concorrência do mercado com a entrada das fintechs, além dos crescentes casos de golpes e fraudes no Brasil, o que pressionou as empresas do mercado financeiro a adotarem medidas de segurança e privacidade para garantir a fidelidade de seus clientes.
Um levantamento da Serasa Experian mostra que 326.290 brasileiros foram alvos de tentativas de golpes só em fevereiro deste ano. Dentre os segmentos com mais investidas dos golpistas estão a categoria de bancos e cartões e o seguimento das financeiras.
As empresas do setor de serviços, por sua vez, são as mais imaturas no âmbito da adequação à LGPD, com 45% das empresas desse segmento relatando ter atendido, apenas de 0 a 20% dos requisitos legais.
Além disso, por depender de mão de obra especializada e, consequentemente, demandar grandes investimentos por parte das empresas, a adequação à LGPD também não está entre as prioridades das empresas de pequeno porte.
Ciente deste cenário e, como tentativa de mitigar as dificuldades enfrentadas por essas empresas, a Autoridade Nacional de Proteção de Dados – ANPD publicou a Resolução CD/ANPD N° 2/2022, concedendo flexibilizações à aplicação da LGPD para agentes de tratamento de pequeno porte, como startups e microempresas.
Isto quer dizer que estas organizações ainda estão vinculadas ao cumprimento da LGPD, mas, visando simplificar sua adequação, gozam de certos benefícios, como a concessão de prazo dobrado para atendimentos de solicitações dos titulares dos dados e a não necessidade de indicar um encarregado pelo tratamento de dados pessoais (DPO), contanto que disponibilizem um canal de comunicação alternativo com os titulares dos dados.
Conclusão
Em suma, a adequação à LGPD ainda se mostra desafiadora para a maioria das empresas, em especial para as do setor de serviços, que demonstraram o menor grau de maturidade, e as empresas de pequeno porte, que têm de enfrentar ainda os obstáculos financeiros para implementação dos projetos.
A ANPD, no entanto, não está inerte diante de tais dificuldades, tendo recentemente concedido flexibilizações a estes agentes e reforçando a importância da LGPD.
Ainda assim, embora a ANPD tenha demonstrado estar ciente da necessidade de investir tempo e esforço na conscientização sobre a relevância da proteção dos dados pessoais, em detrimento de uma postura mais sancionatória e repressiva em um primeiro momento, isso não significa que as empresas não devam se comprometer com a adequação à lei.
Desafios das empresas com a LGPD e multas dos órgãos fiscalizadores
Isto porque, além de a LGPD ter aplicação transversal, diversos órgãos como o Ministério Público, Cade, Senacon e Procons, além do Ministério Público Federal têm invocado a LGPD em representações administrativas e judiciais, aplicando autuações e multas pelo descumprimento à lei, o que demonstra um apetite pela fiscalização da lei em curto e médio prazo.
A título de exemplo, vale mencionar que, recentemente, o Procon autuou empresas do ramo do varejo por constatar que os seus termos de uso e suas políticas de privacidade e de cookies estavam em desacordo com a LGPD. Além disso, já em 2021, o Procon multou um grupo farmacêutico em R$ 572 mil por não obter, de forma transparente, autorização (consentimento) dos clientes para o tratamento e uso de seus dados pessoais.
Também em 2021, a Senacon multou um banco em R$ 9,6 milhões por utilizar indevidamente dados pessoais de clientes.
Tendo em vista que a legislação é aplicável a todos os tipos de empresas (desde lojas, condomínios, bancos, supermercados, farmácias, startups, até empresas multinacionais) e, grandes ou pequenas, todas vêm enfrentando desafios para o cumprimento da – não mais tão nova – lei, é um equívoco assumir que somente as grandes empresas devem se preocupar com a LGPD, sendo que, para as pequenas e médias empresas, lidar com um vazamento de dados ou arcar com uma multa pode custar o próprio negócio.
Paola Luongo Lorenzetti: Senior Associate at Veirano Advogados | Data Protection | Intellectual Property & Information Technology.
Heloísa Helena de Paula Cunha: P.I. & Privacy | Estagiária no Veirano Advogados | Graduanda em Direito no Mackenzie
