Levantamento realizado pelo escritório L.O. Baptista aponta tendência no Brasil
Por – Bárbara Pombo
Empresas de tecnologia, telecomunicações, varejistas e do setor financeiro foram as que mais tiveram que responder a processos no exterior por descumprimento de regras de proteção de dados em 2022. Segundo levantamento realizado pelo escritório L.O. Baptista, o que mais tem levado essas companhias a essa situação são questões triviais – não eventos como vazamentos de informações de clientes e fornecedores.
Feita pelo segundo ano consecutivo, a pesquisa é importante, segundo Fabrício Polido, sócio da área de direito digital da banca, porque pode servir como uma bússola sobre a futura atuação da Autoridade Nacional de Proteção de Dados (ANDP). O órgão é responsável pela fiscalização do cumprimento da Lei Geral de Proteção de Dados (LGPD) no Brasil.
A autarquia está trabalhando no cálculo das penalidades administrativas por violação à norma (Lei nº 13.709, 2018) – a dosimetria. Há grande expectativa do mercado sobre como as sanções serão aplicadas. Pela lei, as multas podem chegar a 2% do faturamento do agente autuado, limitado ao teto de R$ 50 milhões.
De acordo com Polido, o alvo das autoridades estrangeiras nas empresas de tecnologia, telecomunicações, varejo e do setor financeiro pode ser explicado pelo intenso uso de dados pessoais nessas atividades. O estudo se debruçou na atuação, de janeiro de 2022 a janeiro deste ano, das autoridades de proteção de dados da União Europeia, Reino Unido, Uruguai, Argentina, Canadá e no Estado americano da Califórnia.
Observando o cenário no exterior, o estudo lança um alerta para quem desenhará, nas empresas, as políticas de adequação à LGPD. Na União Europeia, por exemplo, o principal motivo de autuação tem sido o fato de empresas não descreverem com clareza, nas respectivas políticas de privacidade, quais as bases legais para tratar os dados e a finalidade do uso das informações.
“A empresa redige a política, mas não diz se a base legal seria fundada no consentimento [do titular] ou se os dados podem ser compartilhados com terceiros para fins da relação comercial”, explica Polido. “As autoridades observam uma ausência de medidas técnicas e organizacionais e não conformidade com os princípios gerais de tratamento de dados pessoais previstos na GPDR [Regulamento Geral de Proteção de Dados Europeu]”, acrescenta o advogado.
No Reino Unido, as companhias estão tendo que responder na esfera administrativa, principalmente, por marketing direto sem consentimento do titular dos dados: por meio de telefone, e-mail e mensagens. No Uruguai, por publicidade indesejada. Na Argentina, a principal razão é a violação ao direito do titular de acessar e obter seus dados armazenados pela empresa.
O estudo também confirma uma tendência verificada em 2021. Enquanto União Europeia e Reino Unido cobram multas elevadas, os demais países seguem um caminho mais brando. Eles costumam aplicar advertências e medidas educativas, com notificações e a celebração de termos de compromissos com as companhias.
Em 2021, União Europeia e Reino Unido aplicaram multas com valores que variaram entre 1,5 mil e 780 milhões de euros, segundo Polido. No último ano, os valores médios das penalidades foram menores – oscilaram de 150 a 405 milhões de euros. Contudo, os montantes, diz o advogado, não incluem custos indenizatórios e reputacionais decorrentes da violação da norma de privacidade e proteção de dados.
“Esses valores aparentemente são menores em comparação com 2021, mas deve ser considerada uma tendência de ‘super sanções’, ao olharmos o caso da Irlanda”, afirma Polido. Ele se refere a processos administrativos que as big techs estão enfrentando na Comissão de Proteção de Dados da Irlanda. As multas – aplicadas entre setembro de 2022 e janeiro deste ano – totalizam 1,06 bilhão de euros.
Essas penalidades dizem respeito, sobretudo, segundo o advogado, à ausência de conformidade com as regras de tratamento de dados na União Europeia, além de medidas técnicas e organizacionais das empresas que, de acordo com a autoridade irlandesa, seriam insuficientes para garantir a segurança da informação.
“São processos administrativos sofisticadíssimos que, potencialmente, terão ramificações em outros países e suas jurisdições sobre dados”, afirma Polido.
Fonte: Valor Econômico
