Embora a Lei Geral de Proteção de Dados seja de 14/08/2018, apenas recentemente entrou em vigor (no dia 18/09/2020). Muitos esperavam que sua vigência começasse apenas em Maio de 2021 por conta da MP 959/20, mas este adiamento não foi aprovado pelo Congresso Nacional e ela realmente já está vigor.
Ainda assim, dois destaques são importantes:
- a) As punições pelo descumprimento da LGPD só entrarão em vigor em 08/2021.
- b) A Autoridade Nacional de Proteção de Dados (ANPD), órgão que fiscalizará a aplicação da lei pelas empresas ainda não está funcionando.
Dentro desses destaques, surgem situações que precisam da atenção das empresas para evitar surpresas. Não é porque as punições da LGPD ainda não começaram que as empresas podem deixar para entrar em conformidade apenas em Agosto de 2021. O mesmo vale em relação ao início das atividades da ANPD.
Tomemos, por exemplo, grandes empresas que já estavam em conformidade antes mesmo da LGPD entrar em vigor, e algo que recentemente se tornou normal: empresas informando clientes sobre a “atualização de políticas de privacidade”. Quem usa a internet com frequência já deve ter notado.
Veremos a partir de agora se multiplicarem ações judiciais baseadas na LGPD com pedidos de indenização por danos morais e materiais ocasionadas por vazamentos de dados pessoais, utilização de dados sem autorização, falta de exclusão de dados pessoais quando este pedido foi feito, envio de dados para empresas parceiras e etc. Não é porque as punições da LGPD dependem da Autoridade Nacional de Proteção de Dados para serem melhor aplicadas que a Justiça não poderá já utilizar estas sanções em sentenças judiciais. É importante destacar que outras normas já previam punições antes mesmo da LGPD e podem ser utilizadas.
Um exemplo é a recente sentença da 13ª Vara Cível da Comarca de São Paulo (processo 1080233-94.2019.8.26.0100) onde a Cyrela, empresa do ramo imobiliário, foi condenada a pagar uma indenização no valor de R$ 10.000,00 para um cliente que teve suas informações pessoais passadas para outras empresas. No caso, já foi utilizada a LGPD na fundamentação da decisão.
Infelizmente, muitos verão na LGPD uma oportunidade de fomentar a “indústria dos danos morais” e forçar situações em que dados pessoais possam ser comprometidos, somente com o intuito de obter alguma vantagem financeira, aproveitando-se também do despreparo das empresas. Em outros casos, empresas que agem de forma ilegal encontrarão de forma justa grandes punições. O certo é que ações judiciais nesse sentido se multiplicarão intensamente daqui pra frente.
De qualquer forma, tal situação só revela a importância que cada empresa precisa dar ao tema, preparando-se e adequando-se (caso ainda não tenha feito), para evitar futuros prejuízos. A implantação ou readequação de políticas de privacidade, compliance, bem como a definição do Encarregado de Dados é fundamental. Mesmo micro e pequenas empresas precisam se atentar a Lei Geral de Proteção de Dados, ainda que contando com um comitê externo de privacidade. Profissionais e escritórios especializados no assunto são fundamentais e a contratação desse tipo de assessoria é um investimento que evitará grandes dores de cabeça.
Jeferson Jones Bernardes Filho
Advogado e Sócio da Bernardes Filho Advogados