13 de dezembro de 2022 •
Avanços no Arcabouço Regulatório Brasileiro e Consequências da adequação/inadequação à Lei Geral de Proteção de Dados
A Lei Geral de Proteção de Dados (“LGPD”), aprovada em 2018 e vigente desde setembro de 2020, representa um marco histórico na regulamentação sobre o tratamento dos dados pessoais no Brasil. Promulgada com a finalidade de proteger os direitos fundamentais de liberdade e privacidade, bem como a livre formação da personalidade de cada indivíduo, a LGPD define as bases legais para tratamento de dados pessoais coletados em território nacional, inclusive (mas não apenas) por meios digitais, por qualquer pessoa natural ou jurídica de direito público ou privado.
Com a vigência da LGPD, criação da Autoridade Nacional de Proteção de Dados (“ANPD”), edição do Regulamento do Processo de Fiscalização e do Processo Administrativo Sancionador (Resolução CD/ANPD nº 1/2021) e iminente edição do Regulamento de Dosimetria para Aplicação das Sanções Administrativas, o Brasil caminha para uma nova etapa na regulamentação da proteção de dados, inclusive consolidando doutrina e jurisprudência sobre o tema.
O Regulamento de Dosimetria para Aplicação de Sanções Administrativas, atualmente em fase de análise das contribuições oriundas da consulta pública pela Coordenação-Geral de Normatização, terá por objetivo a definição de procedimentos sancionatórios pela ANPD, bem como parâmetros e critérios para aplicação de sanções previstas na LGPD.
Organicamente, um dos principais fatores que leva empresas a se adequarem a determinada regulamentação é o valor de eventuais multas administrativas aplicáveis em caso de inadequação. No caso da LGPD, entretanto, a despeito do vultuoso valor das sanções cabíveis, fixadas em até 2% do faturamento mensal de empresas, com limite de até R$ 50.000.000 (cinquenta milhões de reais), nota-se uma baixa taxa de adequação de empresas às disposições da LGPD. Parte disso decorre diretamente da ausência de regras para dosimetria das sanções administrativas aplicáveis pela ANPD.
Em outros países, já é possível verificar que multas vultosas têm sido aplicadas em casos de violação das leis de privacidade locais. Em um caso recente[1], após a formalização de um acordo com procuradores, uma gigante de internet foi obrigada a pagar aproximadamente US$395.500.000,00 (trezentos e noventa e cinco milhões e quinhentos mil dólares) em multas, em razão de rastreamentos ilegais de dados de usuários sem consentimento.
Neste sentido, o Regulamento de Dosimetria para Aplicação das Sanções Administrativas representa um avanço regulatório importante para que adequação à LGPD passe a ser de fato uma questão a ser internamente tratada pelas diversas empresas que ainda não se adequaram.
Todavia, é importante atentar-se ao fato de que os efeitos da não adequação à LGPD transcendem os altos prejuízos financeiros decorrentes de eventuais sanções administrativas aplicáveis. O respeito às diretrizes de tratamento de dados pessoais pode ser visto como uma relevante vantagem competitiva, quando considerados os benefícios e inclusive valorização de mercado de empresas que demonstram preocupação e responsabilidade em relação à privacidade de seus consumidores, clientes, colaboradores e demais indivíduos cujos dados sejam tratados para fins de desenvolvimento de suas atividades.
Em sentido contrário, empresas que ainda não passaram por processo de adequação às diretrizes da LGPD podem estar vulneráveis a problemas de segurança e vazamento de dados pessoais, o que pode gerar não somente prejuízos financeiros, como também danos à sua reputação, danos esses, muitas vezes, irreparáveis.
Considerando os prejuízos acima elencados, a inadequação à LGPD, sem dúvida, é fator relevante na precificação de empresa em operações de fusões e aquisições em diversos setores econômicos, notadamente no setor de tecnologia de informação, ou ainda, no caso de startups, aspecto fundamental na busca de investidores em possíveis rodadas de captação (seed capital e futuras séries).
Nota-se que a adequação às normas da LGPD não é apenas imprescindível para evitar eventuais penalidades administrativas, incluindo o pagamento de multas, mas também está relacionada a uma visão estratégica de mercado, de modo a alavancar a capacidade competitiva, aumentar o valor de mercado e melhorar a reputação de empresas responsáveis pelo tratamento de dados pessoais.
[1] https://valor.globo.com/empresas/noticia/2022/11/14/google-vai-pagar-multa-de-us-3915-milhoes-por-violacoes-de-privacidade.ghtml