As multas para as empresas que descumprirem a LGPD (Lei Geral de Proteção de Dados Pessoais) começam a valer neste domingo (dia 1º). Desde setembro do ano passado, as regras já estavam valendo, mas sem aplicação de multa para quem descumprisse a legislação.
Apesar de ser um grande avanço para a proteção de dados dos brasileiros, Francisco Gomes Júnior, advogado especialista em direito digital, afirma que as empresas ainda não estão prontas para lidar com a nova legislação, principalmente as pequenas e médias.
“Temos percebido que empresas grandes conseguem fazer as adaptações, porque têm dinheiro para fazer o investimento. Quando pensamos em médias e pequenas, elas não conseguem. A pandemia veio e muitas dessas companhias estão lutando para sobreviver, não têm dinheiro sobrando para investir agora”, afirma Gomes.
Para o especialista, a lei pode colocar companhias na mão de hackers. “Quase nenhum sistema do mundo segura hacker se for profissional. Muita gente fala que é uma lei que coloca as empresas quase na mão dos hackers. Você precisa trancar tudo para não sofrer uma invasão, então você vai ter que fazer um investimento grande”, diz.
Leia a entrevista completa de Gomes ao 6 Minutos:
Como as mudanças da LGPD impactam a vida das pessoas físicas?
A LGPD foi editada e promulgada há dois anos e demorou para entrar em vigor justamente como um período de adaptação, tanto para as pessoas como para as empresas. Mas tivemos a pandemia no meio do caminho. Isso prejudicou a adaptação, a divulgação e o investimento das empresas para se adequarem à lei.
O objetivo do texto é proteger dados pessoais de todos. Desde os documentos oficiais até informações de um prontuário médico, de orientação sexual e religiosa, por exemplo. Essa proteção significa que os dados não podem ser usados de forma indiscriminada, sem autorização ou sem uma justificativa legal. A longo prazo, a lei vai trazer um grande impacto na vida das pessoas.
Se você se lembrar em 1990, quando surgiu o Código do Consumidor, uma série de regras não existiam e demorou um tempo para as pessoas entenderem seus direitos e se adaptarem. Com a LGPD é a mesma coisa, não adianta falar que está valendo e a partir disso tudo muda. As pessoas vão demorar um tempo para perceber tudo o que a lei vai proteger e as empresas, para se adaptar, principalmente porque a maior parte delas ainda não está pronta. Eu diria para você que a LGPD é o primeiro grande passo para que a gente tenha uma cultura de proteção de dados no país.
E o que falta para as empresas estarem prontas para lidar com a LGPD?
Quando você fala em proteção de dados em uma empresa com milhares de funcionários, você vai implementar uma nova cultura. Também existem uma série de questões jurídicas, mas o que mais dificulta são os problemas sistêmicos. A empresa tem que investir e custa caro implementar um sistema seguro e que bloqueie vazamentos.
Temos percebido que empresas grandes conseguem fazer as adaptações, porque têm dinheiro para fazer o investimento. Quando pensamos em médias e pequenas, elas não conseguem. A pandemia veio e muitas dessas companhias estão lutando para sobreviver, não têm dinheiro sobrando para investir.
Uma pesquisa recente mostra que metade das empresas ainda não está preparada para a LGPD. Houve uma discussão para adiar a data em que as multas começam a ser aplicadas, por causa da pandemia, mas mantiveram a original. Mesmo assim, o mercado está esperando que a ANPD (Autoridade Nacional de Proteção de Dados) tenha bom senso e adote uma postura educativa neste início. Se for muito rígida, muitas empresas serão penalizadas.
Sobre a ANPD, ela já foi criada com um vício, que está tentando corrigir. Quando você cria uma lei, quem fiscaliza e aplica as multas? A ANPD é vinculada ao poder executivo, ao presidente da República. O que muita gente questiona é se essa agência vai ser independente, porque as outras que existem, como a Anatel (Agência Nacional de Telecomunicações), são autarquias funcionam de forma autônoma.
Qual o valor máximo da multa?
Na primeira vez, a penalidade é uma advertência da ANPD. A segunda infração já envolve uma multa, que é dividida em duas partes: a primeira é um valor fixo, que corresponde a 2% do faturamento, com valor máximo de R$ 50 milhões, e a segunda, é diária e está relacionada ao prazo para a resolução do vazamento de dados.
Depois você tem a suspensão da empresa, ou seja, ela não pode trabalhar com dados por um período e, por último, você a proíbe definitivamente de trabalhar com dados pessoais, o que significa praticamente tirá-la do mercado.
Quais são as fragilidades da lei?
Hoje, temos dados nossos que não são vazados, mas que são tomados sem que a gente perceba. O Facebook e o Google fazem isso, por exemplo, quando você aceita os termos para começar a usar os sistemas sem ler e autoriza as empresas a armazenar um monte de dados pessoais seus. Tirando isso, vão acontecer vazamentos.
Por isso que a ANPD precisa ser independente, já que os maiores vazamentos que tivemos de bases de dados em 2021 foram de órgãos públicos, como do STF (Supremo Tribunal Federal) e STJ (Superior Tribunal de Justiça), no Ministério da Saúde, na Secom (Secretaria Especial de Comunicação Social). Como esse órgão que está vinculado ao governo vai fiscalizar esses casos? É complicado.
Pensando em empresas privadas, dizem que, em agosto, os hackers sabendo das fragilidades das empresas, vão passar a atacar muito mais as bases de dados para pedir resgate. Quase nenhum sistema do mundo segura hacker profissional. Muita gente fala que é uma lei que coloca as empresas quase na mão dos hackers. Você precisa trancar tudo para não sofrer uma invasão. Então você vai ter que fazer um investimento grande.
Se você é um empresário e sua empresa é invadida, você sabe que vai ser multado pela a ANPD em R$ 100 mil, por exemplo, e o hacker pede R$ 10 mil. Ou seja, sai mais barato pagar o invasor do que a multa. Obviamente se o empresário for correto, não vai ceder, mas pode ter quem ceda. Então é bastante perigosa essa lei nesse aspecto de dar um certo poder de ação para os hackers.
Você acha que existe a possibilidade de que a empresa que tem os dados vazados por um hacker não ser multada?
Quando o consumidor aprendeu seus direitos, ele começou a reclamar. Isso vai acontecer com a proteção de dados, quando descobrir que os dados dele foram vazados, as pessoas vão começar aa entrar na justiça pedindo indenização. Acho que vamos ter um aumento no número de ações.
Se eu tiver meu dado vazado, se você souber de onde vazou, você faz um boletim de ocorrência. Em seguida, manda um e-mail a empresa relatando o problema que teve. A empresa é obrigada a responder, mesmo que seja para dizer que não houve vazamento.
REDES SOCIAIS