As sanções administrativas da LGPD entraram em vigor - então calma!

As multas! As multas! As multas!

Sim, é verdade, a LGPD impõe punições bastante firmes, e a mais divulgada delas é a multa do art. 52, II: “até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração”.

Mas ora, o corpo técnico da Autoridade Nacional de Proteção de Dados (ANPD) não vive em Marte. Eles percebem muito tranquilamente que ainda é pequeno o número de organizações plenamente adequadas à LGPD. Um exemplo: reportagem do Consultor Jurídico indicou como “pesquisa da empresa de soluções de segurança BluePex divulgada neste mês de julho aponta que 12% das empresas ainda não têm qualquer iniciativa de adequação à LGPD. 55% ainda buscam informações para adequação e 27% se consideram parcialmente preparadas. Apenas 4% das pequenas e médias empresas estariam totalmente preparadas.”

A esse panorama, soma-se o próprio processo de estruturação interna da ANPD. Segundo o próprio site da entidade, “prevê-se que a atuação da ANPD se dê conforme uma abordagem responsiva, ou seja, de maneira gradual, baseada no comportamento do regulado e alicerçada em um plano de monitoramento do setor que permita a priorização de temas segundo seu risco, gravidade, atualidade e relevância. Assim, a proposta de regulamento prevê etapas de monitoramento, orientação, prevenção e repressão de infrações, levando em consideração as informações recebidas a partir de reclamações, denúncias, representações e notificações de incidentes para estabelecer prioridades a serem incluídas na agenda de fiscalização.”

Ou seja: sim, é necessário adequar-se o quanto antes à LGPD se você (pessoa física, empresa, associação, órgão público, sindicato, cooperativa etc.) faz tratamento de dados em território brasileiro (LGPD, art. 3º, I), se faz tratamento de dados para “oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional” (LGPD, art. 3º, II), ou se coletou dados para esse tratamento em território brasileiro (LGPD, art. 3º, III).

Essa lei não vai pegar, todo mundo já usa meus dados mesmo, olha quanto spam e robochamada eu recebo…

Acredite: spam e robochamadas não são jaboticabas. Trata-se de um problema mundial.

Com certeza aparecerâo os críticos a dizer que “no Brasil é pior”. Trarão a famosa “pesquisa” do aplicativo Truecaller, feita em 2018, que coloca o Brasil no topo do ranking de robochamadas – mas ninguém se preocupou em saber qual a distribuição geográfica de usuários do aplicativo para entender se esse alto número se dá por causa do grande número de chamadas (que ninguém nega, eu mesmo sou “vítima preferencial”), ou se aparece por causa do grande número de usuários no Brasil proporcionalmente a outros países, ou se resulta, digamos, de uma tendência maior dos usuários brasileiros em registrar reclamações no aplicativo…

Mas não é de crítica metodológica que estamos falando, e sim da LGPD, e da entrada em vigor de suas sanções administrativas. Não é que essa lei vai ou não vai pegar; ela já pegou. Antes mesmo de as sanções entrarem em vigor, titulares de dados já recorriam ao Judiciário para garantir seus direitos – e as sentenças já vinham aparecendo desde pelo menos setembro de 2020, quando, tudo indica, a construtora Cyrella foi a primeira empresa condenada a pagar indenização por danos morais devido ao compartilhamento irregular de dados de consumidor.

Em nossa prática profissional, temos usado com relativo sucesso a LGPD para mitigar os impactos do spam. Quem acompanha o que escrevemos em nosso site sabe que estamos desenvolvendo, desde o início de julho de 2021, uma espécie de “experiência” de uso da LGPD no combate ao spam. Sem avançar muito em resultados que devo publicar em breve, posso dizer que a maioria das empresas contatadas tem se mostrado bastante solícita em cessar a correspondência abusiva; somente uma parte pequena mantém a correspondência abusiva, e parte mais reduzida ainda sequer respondeu aos contatos.

Isso indica algo que deveria ser óbvio: não basta dizer que “as leis não funcionam”, ou que “as autoridades não fazem nada” – é preciso se mexer para fazer com que as leis funcionem para o que se deseja e as “autoridades” façam o que se quer. Do contrário, é passar a vida a reclamar.

Então todo mundo vai precisar se adequar à LGPD?

Calma. Com certeza tem muito consultor por aí com propostas mirabolantes de adequação rápida, com “soluções” de nomes chiques, vendendo a ideia de que até a padaria da esquina precisa pagar uma fortuna para se adequar à LGPD. O “terrorismo” já chegou ao ponto de amigas minhas me perguntarem se precisarão se adequar à LGPD porque guardam a mesma agenda telefônica desde o ensino médio… (Sim, é um dos muitos “causos” que já vivi ou ouvi falar sobre o assunto. Um dia escrevo só sobre isso.)

É preciso um pouco de realismo e pés no chão.

Para saber se sua atividade profissional precisa ser adequada à LGPD, basta olhar os critérios do art. 3º. Eles já foram apresentados antes, mas não custa falar deles outra vez, mais extensamente:

Em sua atividade profissional você faz tratamento de dados?

“Dado pessoal” é “informação relacionada a pessoa natural identificada ou identificável” (LGPD, art. 5º, I). Observe: pessoa natural, não pessoa jurídica. Não é obrigatorio, embora seja desejável, proteger dados de pessoas jurídicas usando os mesmos critérios da LGPD. Alguns exemplos de dados pessoais:

• nome ou apelido;
• e-mail, telefone, endereço e outros dados de contato;
• CPF, RG, CNH, CTPS, NIT, identificação profissional, passaporte e outros documentos de identificação pessoal;
• folha de pagamento, dados sobre direitos sociais e benefícios, informações sobre tributos e demais dados que permitam atribuir determinada condição econômica a uma pessoa identificada;
• perfil em aplicativos, plataformas, mensageiros instantâneos e redes sociais, quando se puder identificar uma pessoa por meio dele.

“Dado pessoal sensível” é “dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural” (LGPD, art. 5º, II). Alguns exemplos:

• Identificação de uma pessoa específica, ou conjunto de pessoas identificáveis, como negra, branca, indígena, cigana, nipo-brasileira, descendente de armênios etc.;
• Identificação de uma pessoa específica, ou conjunto de pessoas identificáveis, como candomblecista, messiânica, espírita, umbandista, protestante, católica, budista, xintoísta, hinduísta, ateia etc.;
• Identificação de uma pessoa específica, ou conjunto de pessoas identificáveis, como petistas, pedetistas, liberais, de direita, pessolistas, bolsonaristas, comunistas, brizolistas, monarquistas, prestistas, socialistas, varguistas, de esquerda, anarquistas, de centro etc.;
• Identificação de uma pessoa específica, ou conjunto de pessoas identificáveis, como sendo filiadas ao PSL, à CNBB, ao Centro de Cultora Social, ao PT, ao Greenpeace, ao Movimento Brasil Livre, ao Viva Rio, à CUFA, à Associação de Moradores de Vista Alegre, ao MST, à Opus Dei etc.;
• Prontuários médicos, diagnósticos, receitas médicas, bancos de dados de pacientes, fichas hospitalares, dados sobre saúde transmitidos por plataformas e aplicativos de telemedicina etc.;
• Impressão digital, leitura de íris, identificação por foto, banco de dados genético etc., sempre que a partir desses dados biométricos for possível identificar uma pessoa.

“Tratamento de dados” é “toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração” (LGPD, art. 5º, X).

Fez qualquer dessas operações com dados pessoais, ou com dados pessoais sensíveis? Precisa adequar-se à LGPD. Não fez? Não precisa.

Todo mundo que faz operações de tratamento de dados pessoais precisa adequar-se à LGPD. No futuro, espera-se que próximo, a ANPD “poderá estabelecer normas complementares sobre a definição e as atribuições do encarregado, inclusive hipóteses de dispensa da necessidade de sua indicação, conforme a natureza e o porte da entidade ou o volume de operações de tratamento de dados” (LGPD, art. 41, §3º), o que será um custo a menos; mas a LGPD não diz nada sobre isentar tal ou qual perfil de atividades da observância de suas regras.

O tratamento de dados é feito para oferta ou fornecimento de bens ou serviços?

Se essa é a finalidade do tratamento de dados, sim, a atividade precisa estar adequada à LGPD. Não importa o tamanho, a escala, ou o volume de dados tratados; a atividade deve adequar-se ao que diz a lei, e pronto.

Não importa se o “fornecimento de bens ou serviços” é comercial ou sem fins lucrativos: a lei não faz diferença. Se há tratamento de dados para fornecer bens ou serviços, a atividade deve adequar-se aos critérios da LGPD.

O tratamento de dados é a atividade principal?

Se o serviço prestado é o tratamento de dados para algum cliente, com certeza será preciso adequar essas atividades à LGPD.

O tratamento de dados é feito em território brasileiro, ou com dados coletados em território brasileiro?

Se é feito em território brasileiro, sim, é preciso adequar a atividade ao que prevẽ a LGPD.

Se o tratamento de dados é feito fora do Brasil, mas usa dados coletados em território nacional, trata-se de operação de transferência internacional de dados, que tem tratamento bem detalhado na LGPD. Um exemplo: aquela “inocente” nuvem de arquivos do Dropbox, do One Drive, do Google Drive etc., se é usada para o tratamento de dados, deve ser incluída num mapeamento de dados.

Mas essa lei é uma fábrica de multas! Vai fechar meu negócio!

Já ouvi muita gente dizer a mesma coisa. A situação deve ser vista com cuidado.

A “choradeira” costuma vir de quem acha “muito caro” investir na adequação, especialmente porque – sejamos sinceros – há consultores por aí que nem olham para a natureza da atividade ou o volume de dados tratados; ou apresentam um valor padrão fechado para qualquer cliente, ou cobram sobre porcentagem do faturamento. O resultado: cobram caro (afinal, “as sanções estão aí, olha a multa!”) e exorbitam projetos de adequação que poderiam ser mais simples, e mais adequados à realidade financeira de quem os contrata.

Mas a adequação à LGPD, especialmente de pequenos negócios, é um processo mais simples. Estou falando de:

• Pequenos escritórios de advocacia e contabilidade;
• Clínicas, consultórios médicos e odontológicos de pequeno porte;
• Pequenas lojas que aderiram ao e-commerce durante a pandemia de COVID-19;
• Startups realmente iniciantes, especialmente aquelas voltadas para serviços com alto grau de tratamento de dados;
• Associações culturais, comunitárias e filantrópicas, cooperativas de pequeno porte e todo tipo de organização da sociedade civil, ou do “terceiro setor”.

Os padrões estabelecidos pela LGPD não são novidade alguma. As regras previstas já apareciam em leis e normas anteriores. Alguns exemplos:

• O Código de Defesa do Consumidor, de 1990;
• As muitas regras de conformidade (compliance);
• As normas da “família” ISO 27000 sobre segurança da informação, como a ISO 27001 e a ISO 27002, editadas e revisadas continuamente pela International Standard Organization desde 2006;
• Normas setoriais de autorregulamentação, como o Código de Autorregulamentação para a Prática de E-mail Marketing (CAPEM), criado em 2009 e alterado em 2010, e o Código de Ética do Programa de Autorregulamentação do Setor de Relacionamento (PROBARE), criado em 2019;
• O Marco Civil da Internet, de 2014.

Não é necessário nenhum grande esforço para adequar-se a essas normas, com exceção (talvez) da “família” ISO 27000. Falo por experiência própria: se o respeito a essas normas está presente desde o início de uma atividade profissional, não é difícil adequar-se à LGPD. Trata-se apenas de documentar mais sistematicamente o que já se vem fazendo, e aparar algumas arestas.

Uma startup que conte com uma boa equipe de TI, por exemplo, já terá incorporado os princípios de privacidade por padrão (privacy by default) e privacidade embutida no projeto (privacy by design), e também os princípios e diretrizes da “família” ISO 27000. Poderá estar “capenga” em alguns pontos de respeito aos direitos dos titulares de dados, mas isso é facilmente creditável à concepção equivocada, infelizmente ainda muito comum em certos meios profissionais de TI, de que a privacidade é “coisa do passado”.

Um escritório de contabilidade ou um escritório de advocacia que já tenham bons processos internos de controle de documentos, controle de acessos, descarte adequado de documentação desnecessária e adiram às normas profissionais de seus setores, terão pouquíssimo trabalho para adequar-se à LGPD. Há, sempre, práticas equivocadas e antiquadas a corrigir, bons hábitos a desenvolver e consolidar, mas quando a “casa” já está “bem arrumada” o trabalho de adequação à LGPD é menor do que se imagina.

Além disso, para alívio de alguns, o investimento na adequação à LGPD começa a ser entendido como insumo relevante para a atividade-fim, podendo ser descontado da base de cálculo do PIS e da COFINS.

As sanções podem ser aplicadas a partir de 1º de agosto de 2022– então calma!

Como visto, o problema não está na LGPD, ou na adequação a ela. Está na capacidade de se perceber prestando serviços para alguém que tem expectativas muito próximas às nossas.

Quem tenha seguido essa baliza, e tenha construído sua atividade profissional respeitando as normas e boas práticas da profissão, dificilmente terá problemas em se adequar à LGPD. Além disso, a ANPD não vai sair multando a torto e a direito a partir de segunda-feira (02/08). O mais provável é que adote primeiro uma postura educativa e de orientação, e só depois escolha alguns “peixes grandes” para servir de exemplo do que podem ser as punições.

Por outro lado, os maus profissionais terão grandes dificuldades em adequar sua prática profissional à LGPD, e apresentarão grande resistência – mas esses, espera-se, são exatamente aqueles que não durarão muito no novo cenário.

Boas vindas à plena vigência da LGPD, portanto – e calma!