Por Pedro Henrique Barbisan Bertuol
A Lei Geral de Proteção de Dados (“LGPD”) entrou em vigor em 18 de setembro deste ano, depois de uma vacatio legis de dois anos, contrariando expectativas de que pudesse ter sua vigência prorrogada novamente para o final do ano, ou mesmo para 2021. Trata-se de legislação que estabelece regras aplicáveis ao tratamento e à proteção de dados pessoais, editada na esteira de uma tendência global de preocupação com a privacidade e com a segurança dos dados das pessoas naturais, a exemplo do que já ocorreu na Europa com a promulgação da General Data Protection Regulation (“GDPR”), que muito influenciou o legislador brasileiro.
Um aspecto importante a ser destacado é que a entrada em vigor da LGPD não se deu por completo, já que as sanções administrativas previstas em seus artigos 52 a 54 somente serão aplicadas a partir de 1º de agosto de 2021, em razão da Lei no 14.010/2020. Essa cisão acabou por gerar, em determinados setores, uma desconfiança quanto à efetividade da lei, além de fomentar o entendimento de que a adequação dos agentes envolvidos no tratamento de dados pessoais às normas da LGPD poderia também esperar até o segundo semestre do ano que vem. Trata-se, contudo, de entendimento equivocado.
Em primeiro lugar, porque os artigos da LGPD que estabelecem, de um lado, as obrigações dos agentes de tratamento e, de outro, os direitos dos titulares dos dados já estão valendo e devem ser observados. Os agentes que descumprirem essas normas, embora não estejam ainda sujeitos às sanções administrativas, que serão aplicadas pela Agência Nacional de Proteção de Dados (ANPD) a partir de agosto de 2021 – como advertência e multa, entre outras – podem, desde já, ser responsabilizados civilmente pelos danos patrimoniais e morais que causarem em razão do exercício de atividade de tratamento de dados pessoais (art. 42). Essa responsabilização poderá ser buscada pelos titulares que se sentirem lesados, tanto na esfera administrativa, junto a órgãos como o PROCON, por exemplo, quanto judicialmente, individual ou coletivamente (art. 22).
Em segundo lugar, não se pode desconsiderar o risco de reputação envolvido no descumprimento das normas da LGPD – isto é, os danos que incidentes de vazamento e de tratamento indevido de dados pessoais podem causar à reputação, ao nome, à imagem e às marcas dos agentes de tratamento que não estiverem adequados à legislação. Justamente por isso, e também pela previsão legal de responsabilidade solidária a que estão sujeitos, em determinados casos, tanto o controlador quanto o operador, é que já se percebe no mercado uma tendência crescente de pressão dos próprios agentes econômicos para que seus fornecedores, clientes e parceiros comerciais comprovem a adequação às normas da LGPD. De fato, cada vez mais as empresas estão preocupadas em somente realizar negócios com quem possua boas práticas de governança e de proteção de dados pessoais, o que corrobora a importância de observância das normas trazidas pela LGPD.
Percebe-se, portanto, que a adequação às normas da LGPD é tarefa necessária, imediata e importante, que se impõe com urgência a todas as empresas que realizem operações de tratamento de dados pessoais, tanto para evitar a responsabilização perante os titulares dos dados quanto como medida de inserção em um mercado que cada vez mais valoriza o respeito à privacidade, à segurança e à proteção dos dados pessoais.
Fonte: Lippert Advogados