Após quase três anos da implementação da Lei nº 13.709, de 2018, conhecida como Lei Geral de Proteção de Dados Pessoais (LGPD), que entrou em vigor em setembro de 2020 e estabelece diretrizes obrigatórias relacionadas ao tratamento de dados pessoais, a ANPD (Autoridade Nacional de Proteção de Dados) aplicou a primeira multa por infração à LGPD.
A ANPD aplicou duas multas que totalizaram R$14.400,00 a uma empresa que atua no setor de comunicações e marketing, devido ao descumprimento do artigo 7º da LGPD e do artigo 5º do Regulamento de Fiscalização da ANPD. Além das multas, a empresa também recebeu uma advertência por infringir o artigo 41 da Lei Geral de Proteção de Dados.
Para Ericà Bakonyi, advogada e consultora em projetos LGPD na Macher Tecnologia, empresa que presta serviços de consultoria em TI e LGPD, o fato de a primeira organização multada ter sido justamente uma empresa de pequeno porte serve como um lembrete contundente de que a conformidade com a lei não é uma opção, mas uma obrigação.
“Com a infinidade de notícias sobre incidentes de vazamento de dados em grandes empresas, das polêmicas envolvendo empresas de tecnologia mundialmente conhecidas, quem poderia supor que esse seria o ‘pontapé inicial’ da nossa autoridade?”, questiona. “Pois é, pequenos e médios empresários serão, sim, observados e cobrados. A lei pegou e adequação à LGPD é necessária”, completa.
Alexandre Antabi, diretor da Macher Tecnologia, lembra que a Agência Nacional de Proteção de Dados (ANPD) vem sendo estruturada há alguns anos, mas somente com a publicação do Regulamento de Dosimetria e Aplicação de Sanções Administrativas, ocorrida em fevereiro, a autoridade pôde implementar a fase de aplicações de sanções.
Ele avalia que, a partir de agora, as empresas devem ficar alertas para o cumprimento das diretrizes da LGPD e lembra que organizações de quaisquer setores e portes, inclusive startups, poderão ser investigadas e, eventualmente, penalizadas, caso estejam atuando em desconformidade com a lei.
“Essa primeira multa, mesmo que em valor ‘reduzido’, causa um alto impacto financeiro frente à faixa de faturamento de uma empresa de pequeno porte, representando praticamente 50% da receita bruta de um mês de operação em sua faixa de arrecadação, sem contar os danos causados à sua imagem perante o mercado”, pontua Antabi.
“E mesmo que existam situações em que a própria ANPD se torne mais leniente na fiscalização de agentes de pequeno porte, ainda assim é mandatório que temas ligados à ‘segurança da informação’ e o desenvolvimento de uma cultura de privacidade sejam prioridade dentro das organizações”, ressalta.
Adequação à LGPD deve ir além dos termos de uso e política de privacidade
Com esta ação, para Erica Bakonyi, a ANPD demonstra que não deverá hesitar em aplicar penalidades rigorosas, independentemente do tamanho do negócio. “A imposição da multa em questão envia um claro sinal ao empresariado sobre a importância do tema, dando sinal de que a LGPD não é (e não será) exclusiva das grandes corporações”, pontua. “Investir em soluções de segurança cibernética, revisar políticas internas e realizar treinamentos regulares para funcionários tornaram-se passos cruciais para garantir a integridade dos dados e evitar repercussões legais”, complementa.
Conforme aponta o especialista Alexandre Antabi, a adequação das empresas à LGPD deve ser detalhada e não apenas se limitar à elaboração de termos de uso, de políticas de privacidade ou de formulários de consentimento. Há muitos outros pontos que, quando não são devidamente tratados, geram taxas baixas de conformidade com a lei, impactando os resultados dos projetos de privacidade.
“A adequação deve pressupor a revisão global dos processos e operações das organizações, tornando-se um programa contínuo e multidisciplinar, envolvendo profissionais das áreas jurídicas e tecnológicas”, esclarece Antabi, que também considera o aspecto econômico como passível de atenção, já que “o projeto de adequação não envolve necessariamente custos exorbitantes ou ferramentas complexas. Há diferentes soluções e recursos viáveis para empresas de todos os tamanhos, sendo que muitas das ações de minimização de riscos podem ser customizadas a partir de modelos globalmente reconhecidos de boas práticas”.
Em sua análise, com a ajuda de um DPO atuante, por exemplo, as empresas devem priorizar a capacitação de colaboradores e terceiros, bem como a identificação e o monitoramento de processos de tratamento de dados pessoais envolvidos na atividade comercial.
O diretor da Macher Tecnologia indica ainda que os programas de conformidade devem envolver, também, a manutenção da mesma, através do monitoramento, controle e de melhorar continuamente as práticas delineadas pelo programa de adequação, seja com processos, tecnologias ou demais instrumentos.
Ericà Bakonyi confirma que os conceitos da LGPD precisam ser internalizados pelas empresas. “Se antes a abordagem na coleta e no tratamento de dados pessoais eram indiscriminados, hoje deverão limitar-se a propósitos específicos e embasados na Lei, com a utilização mínima de dados pessoais”, diz. “Nenhuma atividade ou inovação será inviabilizada em razão da LGPD, mas tão somente repensada e reordenada com base nos seus respectivos valores”.
A advogada, por fim, comenta que as pessoas estão cada vez mais cientes de seus direitos, passando a questionar e eleger as empresas que demonstram preocupação e proteção de seus dados. “Aliás, não só clientes e consumidores, mas igualmente as organizações, face à possibilidade de responsabilização conjunta, estão mais criteriosas quanto às escolhas de suas parcerias comerciais”, acredita.
Para a profissional, a mensagem é clara, “o cumprimento da LGPD não só protege a privacidade dos usuários, mas também resguarda a reputação e a estabilidade de longo prazo de qualquer empreendimento”, conclui.
Para saber mais sobre os serviços de tecnologia, consultoria, assessoria em LGPD ou DPO-as-a-Service, basta acessar: https://www.machertecnologia.com.br
Mín. 17° Máx. 30°