Agosto “is coming”

Na famosa série Game Of Thrones, o bordão utilizado por vários dos personagens “the winter is coming” servia para alertar que o inverno, com todas as suas dificuldades peculiares, estava por vir. Nesse espírito, faço o alerta de que agosto vem chegando e, com ele, a consequente vigência das multas na LGPD.

Somente em 2021 o site GDPR Enforcement Tracker já contabilizou mais de 38 milhões de Euros em multas. São vários os exemplos, que vão desde de um diretor de uma companhia que foi multado em 1.500 Euros por não informar ao titular de dados sobre o processamento destes dados quando da coleta (https://etid.link/ETid-691) ou da Equifax multada em 1 milhão de Euros após 96 reclamações serem registrada na AEPD (a autoridade de dados espanhola, semelhante à nossa ANPD) por insuficientes bases legais de processamento de dados.(https://etid.link/ETid-656).

Também não há como deixar de citar o caso da gigante italiana Fastweb, que, após sofrer investigação por parte da autoridade de dados do país e após centenas de reclamações registradas pelos titulares de dados, foi multada em 4,5 milhões de Euros por processamento ilegal de dados e falta de conformidade com o Regulamento de Dados Europeu (https://etid.link/ETid-620).

Com a iminente chegada do mês de agosto e a possibilidade de aplicação de sanções às empresas e indivíduos que processam dados pessoais, é interessante que façamos uma reflexão sobre os riscos de não estar conformidade com a LGPD.

A partir de agosto, a possibilidade de sofrer penalidades pela Autoridade Nacional de Proteção de Dados (ANPD) se torna uma realidade concreta.

O temor de receber multas e sanções não deve nem de longe ser o principal motivo para o compliance à lei, contudo a multa de até 2% do faturamento da empresa ou do grupo, limitado a R$50.000.000,00 por infração (Art. 52 LGPD), tampouco ser ignorada. No mínimo há um risco efetivo a ser considerado.

“Insuficientes bases legais para processamento de dados pessoais”, eis a maior causa de multas na União Européia, seguida por “insuficientes medidas técnicas e organizacionais para garantir a Segurança da Informação”.

Os dados demonstram que, apesar de as multas na UE terem começado em julho de 2018, ainda existe quem não leve o assunto a sério. Como nossa lei local possui pontos de similitude com a Lei em vigor em território europeu, os indicadores de lá podem ser uma boa previsão para o que deve acontecer por aqui.

Mas, e agora, o que fazer com o inverno batendo à nossa porta em tão curto prazo? Algumas sugestões:
Mexa-se! Quanto antes começar as ações de adequação mais cedo pode demonstrar com boa-fé que se encontra no processo.
Valorize seu colaborador – Capacitar quem já conhece seus processos internos, tem bom relacionamento e conhecimento geral da empresa vai adiantar muito seu processo de adequação.

Tenha uma ferramenta de governança. Existem soluções no mercado com custo acessível e já totalmente funcionais para atender diversos casos de uso (DataMapping, Requisições dos Titulares, Controle de cookies e consentimentos, gestão sobre risco de terceiros, emissão de relatórios PIA/DPIA que são gerados por essas ferramentas, dentre outras funcionalidades). Começar com um sistema de apoio à gestão e um projeto bem estruturado de implantação pode fazer a diferença entre o sucesso e o fracasso de seu projeto de adequação. Além de adicionar ajuda externa de um integrador que tem experiência de outros cases e outros clientes.

“Ah, mas isso só vale pra empresa grande!”. Não se engane! Apesar de prever tratamento diferenciado para pequenas e médias empresas, a LGPD vale para TODOS os que processam os chamados Dados Pessoais. As multas na Europa comprovam isso muito bem, um pequeno bar de esportes na Espanha que mantinha câmeras de segurança que apontavam para uma área em que havia tráfego de pessoas em espaço público, foi multado em cinco mil euros (https://etid.link/ETid-151).

E, se precisar de mais um exemplo para se convencer, há também o caso de um escritório de contabilidade na Hungria que foi multado em 1.450 euros por conta de uma lista de clientes que continha dados pessoais e podia ser acessada por pessoas não autorizadas para tal (https://etid.link/ETid-305).

Vale lembrar que não basta que a adequação esteja feita. É preciso conseguir demonstrar essa adequação!

Os artigos 42 e 43 da LGPD claramente deixam a cargo do Controlador e Processador a obrigação de demonstrar que processam dados legalmente, instituindo, inclusive, a Inversão do ônus da prova. Ou seja, quem processa dados é que tem o dever demonstrar que tomou todas as cautelas necessárias para evitar o incidente e consequente prejuízo ao titular de dados.

Resumindo: não assuma o risco, não vale a pena.

Por Marco Túlio, analista de privacidade na Etek NovaRed Brasil.