Em 19 de setembro de 2020, a Lei Geral de Proteção de Dados (LGPD) entrou em vigor com a finalidade de proteger os dados pessoais de seus titulares, principalmente consumidores e trabalhadores. Apesar das mudanças, em pesquisa divulgada nos últimos dias pela RD Station, somente 15% das quase mil empresas consultadas se adequaram ou estão em reta final de regularização, mesmo estando sujeitas às penalidades aplicáveis pela Autoridade Nacional de Proteção de Dados (ANPD) desde 1º de agosto, com multas que podem chegar a R$ 50 milhões.
A proteção aos titulares-consumidores têm recebido um cuidado especial. Logo no começo de vigência da lei, o PROCON/SP divulgou uma cartilha com informações e orientações, e passou a aceitar reclamações em seu site, e passou a aceitar reclamações em seu site.
A ANPD, ainda ganhando musculatura para proteger as informações de mais de 220 milhões de brasileiros, celebrou em março deste ano um Termo de Cooperação com a Secretaria Nacional do Consumidor (SENACON) para que esta passasse a contribuir com a fiscalização, recebendo denúncias e reclamações pelo site www.consumidor.gov.br. E a atuação da SENACON tem sido bem ativa, aplicando, por exemplo, multas no valor total de quase R$ 30 milhões para um grupo de bancos em razão da utilização de dados pessoais para ofertar empréstimos consignados para consumidores idosos sem a obtenção prévia de consentimento.
Da mesma forma, o Poder Judiciário vem sendo protagonista desde que a LGPD entrou em vigor emitindo mais de 600 decisões por todo o país.
Logo em seus primeiros dias, o Ministério Público ingressou com Ação Civil Pública para impedir a comercialização irregular de dados pessoais. Ainda em 2020, uma construtora foi condenada a pagar R$ 10 mil pelo compartilhamento indevido de dados pessoais de um comprador de imóvel na planta em São Paulo que teve seus dados divulgados, sem autorização, para empresas ofertarem seus produtos. Em agosto de 2021, em nova decisão, dessa vez no Rio Grande do Sul, uma instituição de ensino foi condenada em R$ 6 mil pela coleta de dados na internet sem o consentimento de seu titular.
Por outro lado, levando maior segurança jurídica às empresas e impedindo uma onda de ações pautadas na “indústria de danos morais”, o Tribunal de Justiça de São Paulo (TJSP) entendeu que o simples fato de os dados pessoais terem sido divulgados sem a efetiva comprovação do dano aos seus titulares, não ensejaria a reparação. A definição ocorreu após o ataque hacker à ENEL que culminou no vazamento de dados de mais de 300 mil clientes de Osasco, em novembro do ano passado.
E os ataques cibernéticos se tornaram uma realidade no Brasil, sendo o 5º país mais afetado no mundo por ransomware (sequestro de dados em troca de resgate) com 9,1 milhões de registros, de acordo com o relatório de Ameaças Cibernéticas da SonicWall divulgado em 29 de julho de 2021. Nos últimos meses, essa nova modalidade de risco às empresas tomou os noticiários, em que o último grande ataque que se teve notícia envolveu a indisponibilidade da loja virtual da Renner por alguns dias.
No âmbito trabalhista, recentemente foram publicadas duas importantes decisões em que sindicatos cobraram judicialmente a comprovação de implementação das práticas de segurança e sigilo de dados de empresas gaúchas. Embora a Justiça do Trabalho tenha entendido, em um dos casos, que a comprovação de adequação ocorreu com a apresentação das regras internas de proteção de dados, do treinamento dos colaboradores e da nomeação do Encarregado (também chamado de Data Protection Officer – DPO), em outra circunstância foi exigida a comprovação de adequação no prazo de 90 dias sob pena de multa, trazendo preocupação para aquelas empresas que ainda não se adequaram à lei.
Finalmente, em relação aos custos das empresas para se adequarem à LGPD, a boa notícia para as empresas foi a decisão que permitiu o aproveitamento destes custos como crédito de PIS/COFINS, por serem considerados insumos necessários ao cumprimento de imposição legal.
Dessa forma, prestes a fazer seu primeiro aniversário de vigência, a LGPD trouxe novos desafios para o relacionamento das empresas com seus colaboradores e consumidores, a necessidade de proteção de sistemas diante da crescente ameaça de ataques cibernéticos, além da oportunidade fiscal para o pagamento de imposto com o crédito gerado com os custos de sua implementação.