A Lei Geral de Proteção de Dados (LGPD) entrou em vigor e pegou muitas empresas de surpresa. Ela foi aprovada em 2018 e passaria a valer em agosto de 2020. No entanto, em março, quando foi decretado a situação de calamidade pública no país devida a pandemia causada pelo novo coronavírus, ela foi transferida para após esse período. Porém, em setembro, passou a valer em todo território nacional.
Mas afinal, o que é na prática essa Lei? Como ela interfere no dia a dia das empresas e principalmente no mercado cervejeiro? Para esclarecer essas e outras dúvidas, conversamos com o Drº Ricardo Moreira, Advogado e Coordenador da área de Direito Empresarial do Escritório VM&S Advogados. Saiba mais sobre a LGPD
Na prática, o que é a LGPD?
A LGPD é uma lei que foi editada, em consonância com práticas internacionais, para proteger o sigilo e a privacidade de qualquer informação de uma pessoa natural que possa identifica-la, como nome, CPF, e-mail, endereço, dados genéticos, dentre outros.
Há um prazo para adaptação? Como se dará o processo de ajustes à nova legislação?
O prazo para adaptação se encerrou. A lei foi editada em 14 de agosto de 2018 e entrou em vigor agora em 17 de setembro de 2020. As punições administrativas só poderão ser aplicadas em agosto de 2021, pela Autoridade Nacional de Proteção de Dados (ANPD), órgão regulador que foi criado junto com a nova legislação. Os direitos e deveres já podem ser exigidos e, em caso de descumprimento, pode haver pedido de reparação na Justiça. Ou seja, as empresas devem iniciar imediatamente a cumprir as disposições da Lei. Quem não se adaptou ainda, deve correr. O processo de ajuste envolve, muito resumidamente, o levantamento dos fluxos de dados pessoais nas empresas, a indicação de medidas a serem tomadas para adequação, a efetiva implementação dessas medidas e, por fim, um período de teste da efetividade daquilo que foi implantado.
O que muda com ela em vigor?
Diversos novos direitos e deveres foram criados, como os direitos ao acesso à informação, revogação de consentimento de tratamento de dados, anonimização, dentre outros. Do lado dos deveres para as empresas, surgem obrigações importantes, como o dever de comunicar incidentes com dados (vazamentos, por exemplo), nomear um encarregado de dados, o chamado Data Protection Officer (DPO), para interagir com o mercado, adotar e provar que adotou medidas preventivas de segurança, manter registro das operações de tratamento de dados, e muitas outras. De uma maneira geral, pode-se dizer que o que mudou, ou o que deve mudar, é a cultura, a forma como se coletam e usam os dados das pessoas no Brasil. Esse procedimento está agora muito mais regulado para tentar proteger a privacidade das pessoas.
Como será a fiscalização desta Lei?
A Lei criou uma agência reguladora, a ANPD que assemelha-se a outras agências estatais como ANEEL, ANATEL, etc. Esta agência regulamentará a Lei, receberá denúncias, instaurará procedimentos administrativos e, em última instância, poderá aplicar sanções, dentre elas multa de até 2% do faturamento do grupo econômico, com limite de 50 milhões de reais por evento.
Independentemente da atuação da ANPD, outros órgãos, como Ministério Público, Procons, entre outros, poderão, dentro do seu âmbito de atuação, exigir o cumprimento da LGPD. Isso sem falar nos indivíduos (os titulares de dados pessoais) que poderão ingressar em juízo exigindo seus direitos e indenizações.
Se as empresas não estiverem efetivamente cumprindo o que determina a legislação, qual será a punição?
Em caso de descumprimento, as sanções administrativas vão desde advertência até multas calculadas sobre o faturamento. Mas, para mim, o pior não são as sanções administrativas e sim o aumento do contencioso com indivíduos (clientes, empregados, etc), em busca de indenizações, justas ou injustas, e as ações civis públicas, ajuizadas pelo Ministério Públicos e outros que tem legitimidade para tanto, em busca de proteção coletiva de direitos.
Como a LGPD interfere no mercado cervejeiro?
A lei tem um âmbito de aplicação enorme, pois praticamente se desconhece uma empresa que não trate dados pessoais, nem que seja de seus próprios empregados. O mercado cervejeiro não é exceção. Prevejo um impacto direto e imediato em ações de marketing e e-commerce. Essas duas áreas eu elegeria como prioridades nas empresas para adaptação. O que eu penso, finalmente, é que o impacto não precisa necessariamente ser visto pelas empresas como algo negativo, mas sim como uma oportunidade de revisitar a questão da privacidade dos clientes, por exemplo, numa demonstração de respeito que, ao final, pode gerar uma fidelização do consumidor.
