Os Impactos Econômicos do Descumprimento da Lei Geral de Proteção de Dados

Adequar-se a LGPD implica custos, mas a prevenção ainda representa a escolha mais adequada para a manutenção da atividade empresarial.

A Lei Geral de Proteção de Dados entrou em vigor na metade do ano de 2021, especialmente em relação aos dispositivos que tratam das sanções administrativas, mas as pesquisas indicam que, até o momento, muitas empresas ainda não se adequaram ao novo Marco Normativo, talvez por desconhecimentos dos riscos econômicos a que estão submetidas em caso de algum incidente.

O assunto aqui são os aspectos jurídico-econômicos da proteção de dados, ou seja, o objetivo é tratar das relações entre Economia e Direito na Lei Geral de Proteção de Dados (LGPD), oferecendo um panorama geral, mas aprofundando de forma a permitir comparar os riscos e os custos da adequação, além de oferecer uma visualização da prática da advocacia nessa área.

A primeira noção importante para a prática é verificar que o principal objetivo da LGPD não é impedir o tratamento de dados, e, sim, que este tratamento se realize de forma adequada, sem abusos. Impedir o tratamento de dados seria ir na contramão da economia global. A legislação tem o objetivo exatamente contrário: de impulsionar o crescimento econômico responsável e dentro de um marco jurídico previsível e capaz de resguardar o direito das pessoas.

Essa noção é fundamental, pois a existência de um marco jurídico é essencial para o desenvolvimento de atividades lícitas em um ambiente de competição econômica. A partir de um marco regulatório, é possível que todos os players de mercado tenham previsibilidade sobre as consequências de suas ações, deixando claro os limites de sua atuação sem que haja responsabilização civil ou administrativa.

A LGPD tem o condão de esclarecer quais as possibilidades e limites das atividades empresariais no tratamento de dados de forma lícita, permitindo, por exemplo, o desenvolvimento de campanhas de marketing compatíveis com a ordem jurídica. Exemplificando: uma corretora de seguros pode enviar propaganda anunciando seguros residenciais ou de vida para seus clientes que adquiriram seguro de automóvel? Tudo depende de como os dados foram coletados.

Então, o advogado precisa pensar a LGPD a partir da ideia de que trazer segurança jurídica significa deixar claras as regras do jogo sobre o tratamento de dados nos ambientes econômicos, e isso é algo extremamente positivo para viabilizar negócios lícitos em um ambiente competitivo.

Assim, é comum que o gestor, empresário, tenha diversas dúvidas em relação ao tratamento de dados, por exemplo, prazos, portabilidade, padrões mínimos, notificações, entre outros. A LGPD vem exatamente para dar segurança a essas questões, permitindo que os negócios se desenvolvam a partir de um marco regulatório sólido. Na prática, isso significa a possibilidade de adequar seus negócios para evitar multas pela administração pública e ações de indenização por parte dos clientes.

No entanto, infelizmente essa adequação ainda não é a realidade de muitas empresas no Brasil, pesquisa realizada pelo grupo CNN com 1000 empresas mostra que apenas 15% estão adequadas ao novo regime jurídico. Enquanto outra pesquisa, apenas com empresas listadas em bolsa de valores, ou seja, empresas maiores, verificou que 59% dessas empresas ainda não haviam designado o profissional “encarregado”, conhecido também como DPO (data protection officer), que deve atuar como um canal de comunicação entre os controladores de dados, seus titulares e a autoridade nacional de proteção de dados (ANPD).

Dessa forma, a maneira correta de enxergar a legislação é a escolha do risco da sanção administrativa e da responsabilidade civil frente à possibilidade de adequação prévia, por meio da contratação de profissionais especializados, para organizar os processos internos da empresa a fim de adequar-se às exigências da legislação de proteção de dados.

Claro, mesmo em casos de sanções ou indenizações, haverá a necessidade de atuação de um advogado, mas, para o empreendedor, a possibilidade de reversão das decisões desfavoráveis é bem reduzida e bem mais custosa do que a da prevenção, isso sem mencionar o dano reputacional que a empresa pode sofrer em casos de vazamentos massivos de dados. Elaborar um plano de prevenção é o melhor e mais barato caminho para cumprir com a Lei Geral de Proteção de Dados e, neste caso, é necessário o auxílio de profissionais especializados.

Como podemos ver em alguns exemplos, as multas já estão ocorrendo e a tendência é o aumento do número de sanções conforme a autoridade nacional de proteção de dados continua seu processo de estruturação, além do aumento de ações de indenização à medida que as violações vierem a ocorrer e esta matéria passar a estar sedimentada na formação dos advogados.

É possível perceber de imediato que existem três tipos de sanções com reflexos patrimoniais diretos nas empresas:

• Sanções pecuniárias propriamente dita;

• Sanções reputacionais;

• Sanções que impõem suspensão ou proibição do desenvolvimento de determinadas atividades empresariais.

Em relação às Sanções Pecuniárias, verificam-se os incisos II e III do Art. 52 como responsáveis por balizar os valores de multas. Ficam limitadas a 2% do faturamento, não podendo ultrapassar 50 milhões de reais, mas com a possibilidade de multa diária.

No inciso seguinte (Art. 52, IV) está colocada a chamada Sanção Reputacional, a qual pode ser difícil de estimar, podendo ter repercussões bem maiores, a depender do setor de atuação da empresa. A sanção estabelece a publicização da condenação das empresas que cometerem violações da proteção de dados pessoais.

Por fim, os incisos X, XI e XII do Art. 52 estabelecem a possibilidade de suspensão das atividades relacionadas ao tratamento de dados ou inclusive sua proibição, o que, dependendo do ramo de atividade empresarial, pode significar um prejuízo competitivo capaz de retirar totalmente a capacidade da empresa de permanecer no mercado.

Dessa forma, quando somadas as possibilidades de sanções administrativas com as disposições que estabelecem os requisitos para a responsabilidade civil, é possível verificar que a não adequação aos preceitos da Lei Geral de Proteção de Dados criam um risco significativo, capaz de gerar prejuízos de difícil estimativa, podendo comprometer a atividade empresarial. Não há dúvida que, a partir da lógica empresarial, é muito mais adequada a prevenção do que a reparação, tendo em vista o forte viés econômico que é adotado pela legislação no sentido de impor uma verdadeira coerção de mercado para condicionar as empresas a atuarem dentro dos limites impostos pela proteção de dados.

Em relação à responsabilidade civil, a Lei Geral de Proteção de Dados inicia colocando a fórmula tradicional de que aquele que causar dano fica obrigado a repará-lo, entretanto, o ponto mais importante a ser observado pela sua repercussão econômica é o da responsabilidade solidária estabelecida no parágrafo primeiro (Art. 42, §1, I e II da LGPD). Como se deve lembrar, a responsabilidade solidária implica que, perante o titular dos dados, vítima da violação, controladores e operadores responderão por toda a dívida, podendo ser demandados integralmente. Passa a ser fundamental para os controladores não apenas gerir seus próprios processos da melhor forma possível, mas buscar contratos apenas com empresas que se utilizem dos melhores padrões de segurança da informação e de implementação da Lei Geral de Proteção de Dados.

Assim, quando falamos do dano reputacional, é possível perceber que, em caso de violação da Lei Geral de Proteção de Dados, esse dano pode não se limitar à perda de possível clientela, mas também à perda de possíveis contratos comerciais que deixarão de ser firmados quando não houver confiança na capacidade do empreendimento em cumprir as exigências da regulação, uma vez que a responsabilidade solidária implica que empresas que estão adequadas à Lei Geral de Proteção de Dados evitarão contratar com empresas que tiverem sido condenadas e não realizarem os procedimentos de adequação.

Soma-se à disposição que estabelece a solidariedade a possibilidade de inversão de ônus da prova, nos casos de verossimilhança da alegação, hipossuficiência do titular dos dados ou exigência de prova excessivamente onerosa. Ou seja, cabe aos agentes de tratamento, especialmente ao controlador, acautelar-se guardando documentação de todos os processos e procedimentos internos envolvendo tratamento de dados, uma vez que provavelmente não poderá alegar como tese de defesa a falta de provas.

Por fim, observa-se que as hipóteses que permitem a evasão da responsabilidade equivalem a estabelecer a responsabilidade objetiva dos agentes de tratamento, uma vez que só não serão responsabilizados nas seguintes hipóteses:

Assim, é possível perceber que os riscos patrimoniais são muito significativos para as empresas que não se adequarem à legislação protetiva de dados pessoais. De um lado, a sanção administrativa com seu caráter pecuniário, reputacional e capaz de interrupção das atividades, do outro, a responsabilidade civil solidária, objetiva e possível de inversão do ônus probatório durante o processo.

Dessa forma, podemos concluir que a escolha não apenas juridicamente adequada, mas capaz de melhor garantir a manutenção dos processos empresariais é a prevenção. Obviamente, não é possível pensar em uma adequação sem que haja custos, será necessário treinamento de pessoal para atuarem dentro dos novos parâmetros, possível implementação de novos sistemas e a contratação de serviços jurídicos especializados, mas esses custos tendem a ser bem menores, e bem mais previsíveis, do que aqueles das possíveis multas e indenizações que acabamos de ver.

Além disso, mesmo quando houver alguma das sanções que colocamos anteriormente, a implementação de mecanismos preventivos está prevista na Lei como forma de mitigação dos valores das multas. O Art. 51 §1 dispõe em seus incisos VIII, IX e X sobre a adoção de mecanismos e procedimentos internos de minimização dos danos, políticas de boas práticas e governança e adoção de medidas corretivas, como parâmetros a serem observados pela autoridade na aplicação das sanções.

A adequação à Lei Geral de Proteção de Dados deve compreender a adequação jurídica propriamente dita, que envolve, por exemplo, a atualização de contratos, a adequação dos procedimentos internos e a da tecnologia. Evidentemente, não são processos isolados. Um exemplo simples: se a partir da adequação de recursos de tecnologia forem atualizados servidores, será necessário treinamento dos colaboradores para trabalhar com as novas plataformas. Então, é necessário pensar essa adequação como um processo global pelo qual o empreendimento precisa passar.

Assim, um dos primeiros passos que a empresa precisa dar para se adequar à LGPD é buscar a figura do encarregado, esta é a pessoa que fica responsável por atuar como um canal de comunicação entre o controladores, os titulares dos dados e a autoridade nacional de proteção de dados.

Além disso, a LGPD define como atribuições do encarregado, principalmente em seu inciso III, o dever de orientar os funcionários e os contratados da entidade a respeito das práticas a serem adotadas relacionadas à proteção de dados. Dessa forma, o encarregado assume papel central na definição das políticas de proteção de dados, não sendo apenas um canal de comunicação.

A própria LGPD estabelece os princípios que regem o tratamento de dados pessoais, sendo eles a finalidade, adequação, necessidade, livre acesso, qualidade, transparência, segurança, prevenção, não discriminação e a responsabilização e prestação de contas, conhecido também como accountability.

Faz-se necessário verificar se os processos de tratamento de dados estão adequados aos princípios trazidos pela Lei Geral de Proteção de Dados. Em muitos casos, será detectada a coleta de dados desnecessários, utilizados para finalidades diversas da qual foram obtidos, além de difícil ou inexistente acesso do titular aos dados e mecanismos de retificação. Em todas essas hipóteses, e em muitas outras, haverá a necessidade de adequação dos procedimentos internos.

Assim, ainda que seja inevitável que a adequação à Lei Geral de Proteção de dados implique em custos, é inquestionável que é melhor para a saúde financeira da empresa optar pelos custos previsíveis da adequação do que se submeter ao risco das sanções e da responsabilidade civil, que podem implicar na dificuldade de manutenção da atividade econômica em caso de grandes ou reiterados incidentes.