Por – Esther Jerussalmy Cunha, Rosana Pilon Muknicka, Alessandra Fortes Lobo

1. O Brasil não possui nenhuma norma de proteção de dados pessoais em vigor

MITO. A Lei Geral de Proteção de Dados (“LGPD”) foi sancionada em 14 de agosto de 2018 e entrará em vigor em agosto de 2020. No entanto, é necessário observar que esta norma, em verdade, apenas sistematizou uma série de dispositivos legais que já estão em vigor em outras legislações esparsas, tais como o Marco Civil da Internet, a Lei do Cadastro Positivo, o Código de Defesa do Consumidor, dentre outros. Portanto, o descumprimento das normas relativas à proteção de dados pessoais poderá ensejar o ajuizamento de medidas tanto no âmbito administrativo quanto judiciário, independentemente da entrada em vigor da LGPD. Atualmente, principalmente os órgãos de defesa do consumidor e o Ministério Público têm ajuizado ações civis públicas visando o pagamento de elevadas multas por descumprimento das normas de proteção de dados pessoais.

2. A LGPD não terá eficácia real, pois a criação da Autoridade Nacional de Proteção de Dados ficou pendente

MITO. No apagar das luzes de 2018, foi publicada a Medida Provisória nº 869/2018, que instituiu a Autoridade Nacional de Proteção de Dados (“ANPD”) como órgão da administração pública direta vinculada à Presidência República. Com isso, caberá à ANPD, dentre outras competências, interpretar e zelar pelo cumprimento das regras de proteção de dados pessoais estabelecidas na LGPD, editar normas sobre o tema e, inclusive, aplicar sanções. A ANPD atuará de forma articulada com os demais órgãos reguladores, como os de defesa do consumidor e o Ministério Público, e, em caso de conflito, prevalecerá a competência da ANPD.

3. Minha empresa está sediada no exterior e, portanto, não estará sujeita à aplicação da LGPD

MITO. Estará sujeita à LGPD qualquer operação de tratamento de dados pessoais realizada por pessoa natural ou jurídica, de direito público ou privado, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados, desde que: a operação de tratamento seja realizada no Brasil; o tratamento dos dados pessoais seja destinado à oferta de bens ou serviços para indivíduos no Brasil; a operação seja destinada ao tratamento de dados de indivíduos localizados no Brasil; ou, os dados pessoais tenham sido coletados no Brasil. Portanto, ainda que a empresa esteja sediada no exterior, ela poderá estar sujeita à LGPD, salvo nas hipóteses do tratamento de dados pessoais possuir fins exclusivamente artísticos e jornalísticos ou acadêmicos; fins exclusivos de segurança pública, defesa nacional, segurança do Estado ou atividade de investigação e repressão de infrações penais. Observe-se, neste ponto, que ainda não há clara definição sobre os termos adotados pela LGPD no que se refere às hipóteses de exclusão de aplicação da norma.

4. A LGDP protege apenas os dados de pessoas naturais

FATO. A LGPD protege os dados que identifiquem ou tornem identificável a pessoa natural, ou seja, esta norma não protege os dados de pessoas jurídicas. Contudo, inserida na pessoa jurídica, sempre haverá uma pessoa natural (como empregados, colaboradores, clientes, dentre outros) cujas informações deverão ser protegidas.

5. A LGPD somente protege os dados pessoais que circulam pela internet

MITO. A LGPD visa a proteção tantos dos dados mantidos em meios físicos quanto digitais, ou seja, a forma como são coletadas e armazenadas as informações em papeis e documentos físicos também deverá seguir os critérios adotados pela LGPD.

6. O descumprimento da LGPD (após a sua entrada em vigor) poderá acarretar multa de até 2% do faturamento da pessoa jurídica, limitada a R$ 50 milhões por infração

FATO. A LGPD prevê sanções pelo seu descumprimento que vão desde a aplicação de simples advertência com prazo para adoção de medidas corretivas até a aplicação de multa simples de até 2% do faturamento da pessoa jurídica, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada a R$ 50 milhões por infração. Observe-se, neste ponto, que a legislação brasileira não esclareceu o que considera o termo “por infração”.

7. Toda pessoa jurídica sujeita à LGPD precisa contratar um encarregado de dados semelhante ao Data Protection Officer (“DPO”) das normas de proteção de dados europeias

FATO e MITO. A LGPD criou a figura do encarregado, pessoa que pode ou não manter vínculo de emprego com a pessoa jurídica sujeita à LGPD, e que será o responsável por aceitar reclamações e comunicações dos titulares dos dados, prestar esclarecimentos e adotar providências; receber comunicações da ANPD; bem como orientar todos os membros de uma empresa acerca das práticas a serem adotadas em relação à proteção de dados pessoais. A dispensa de contratação do encarregado está prevista na LGPD, mas depende de regulamentação pela ANPD. A decisão sobre a contratação de pessoa externa à estrutura da empresa para ocupar a posição de encarregado deverá sopesar, acima de tudo, a importância dos dados pessoais, por vezes sigilosos, que serão acessados por esta pessoa (ou comitê, ou departamento), bem como a imagem da empresa pela qual este profissional será responsável, afinal, ele será a ponte direta entre a empresa e a ANPD.

8. A elaboração de um documento, assinado por todos na empresa, afirmando que estamos em compliance com a LGPD será suficiente para mitigar ou elidir qualquer penalidade decorrente da sua violação

MITO. A revisão e elaboração de documentos acerca da proteção de dados pessoais é, apenas, uma das fases a serem adotadas para a empresa estar em compliance com as normas de proteção de dados, inclusive a LGPD. Em verdade, trata-se de uma verdadeira mudança de cultura a ser adotada dentro das empresas, que deverão, necessariamente, incluir equipes multidisciplinares responsáveis pela obtenção do engajamento de todos os empregados, colaboradores e terceiros que possuam relação direta com os negócios realizados. Afinal, todos os elos da cadeia poderão, de alguma forma, violar as normas de proteção de dados pessoais, acarretando responsabilidade para a empresa. Por este motivo, o prazo médio estimado para a realização de todo um processo de compliance com as normas de proteção de dados é de 12 meses. Deste modo, recomenda-se que as despesas para a obtenção do compliance com as normas de proteção de dados pessoais já estejam incluídas nas previsões orçamentárias de 2019.

Conte com a equipe da área de Proteção de Dados de L.O. Baptista para assessorar sua empresa neste processo.