10 mitos e verdades sobre a Lei Geral de Proteção de Dados

    Muitas dúvidas estão surgindo com relação a efetiva aplicação da nova Lei Geral de Proteção de Dados Pessoais.

    Estas questões geralmente são levantadas pela ideia de que no Brasil esta norma não passará de mera regulamentação e interpretação de como proceder em casos de incidentes envolvendo dados pessoais sem, contudo, que exista a efetiva fiscalização pelo órgão responsável, ou seja, que esta lei não terá força para tal.

    Além do mais, outras dúvidas quanto aos demais dispositivos da lei também foram levantadas. Portanto, abordaremos algumas delas para entender se tais especulações são Verdadeiras ou Falsas. Vejamos:

1 - A Lei Geral de Proteção de Dados não terá eficácia real
MITO. Foi publicada no final de 2018 a Medida Provisória nº 869/2018 que instituiu a Autoridade Nacional de Proteção de Dados como órgão da administração pública direta vinculada à Presidência República. Com isso, caberá à ela, dentre outras competências, interpretar e zelar pelo cumprimento das regras de proteção de dados pessoais estabelecidas na LGPD, editar normas sobre o tema e, inclusive, aplicar sanções.
A Autoridade Nacional atuará de forma articulada com os demais órgãos reguladores, como os de defesa do consumidor e o Ministério Público.

2 - A Lei Geral de Proteção de Dados revogará as outras normas envolvendo proteção de dados em vigor no Brasil
MITO. A LGPD entrará em vigor em agosto de 2020. No entanto, esta nova norma apenas sistematizou uma série de dispositivos legais que já estão em vigor em outras legislações, tais como o Marco Civil da Internet, a Lei do Cadastro Positivo, o Código de Defesa do Consumidor, dentre outras.
No entanto, a LGPD não revogará nenhum destes dispositivos legais existentes, sendo que o descumprimento das normas relativas à proteção de dados pessoais poderá ensejar o ajuizamento de medidas tanto no âmbito administrativo quanto judiciário, independentemente da entrada em vigor da LGPD. Atualmente, principalmente os órgãos de defesa do consumidor e o Ministério Público têm ajuizado ações civis públicas visando o pagamento de elevadas multas por descumprimento das normas de proteção de dados pessoais.

3 - A LGDP abrange somente os dados de pessoas naturais
VERDADE. A LGPD protege os dados pessoais que identifiquem ou tornem identificável a pessoa natural, ou seja, esta norma não protege os dados de pessoas jurídicas. No entanto, inserida na pessoa jurídica, sempre haverá uma pessoa natural (como empregados, colaboradores, clientes, dentre outros) cujas informações deverão ser protegidas.

4 - A LGPD somente protege os dados pessoais que circulam no meio digital
MITO. A LGPD visa a proteção tantos dos dados mantidos em meios físicos quanto digitais, ou seja, a forma como são coletadas e armazenadas as informações em papeis e documentos físicos também deverá seguir os critérios adotados pela LGPD.

5 – A implementação desta lei na minha empresa será simples e rápida.
MITO. A adequação aos requisitos da lei envolve todo um mapeamento de dados pessoais em toda a empresa, observação de cada dispositivo da lei, profissionais qualificados e, principalmente, do comprometimento da diretoria e dos funcionários. Trata-se de uma verdadeira mudança cultural a ser adotada dentro das empresas, que deverão, necessariamente, incluir equipes multidisciplinares responsáveis pela obtenção do engajamento de todos os empregados, colaboradores e terceiros que possuam relação direta com os negócios realizados.
Por este motivo, o prazo médio estimado para a realização de todo um processo de compliance com as normas de proteção de dados é de 6 a 12 meses dependendo do porte da empresa. É claro que possuem empresas que tratam um número menor de dados pessoais e, por esta razão, este prazo poderá ser menor. No entanto, o engajamento de toda a empresa para a implementação e continuação das adequações serão os mesmos.

6 – Em caso de incidentes envolvendo dados pessoais, as únicas penalidades que posso receber são as administrativas.
MITO. Além das sanções administrativas que a Autoridade Nacional de Proteção de Dados poderá aplicar em caso de descumprimento ou vazamento de dados pessoais pelas empresas, estas também poderão ser alvos de ações judiciais demandadas pelos titulares dos dados pessoais, em razão de possíveis danos morais ou materiais sofridos.

7 - Advertências e multa de até 2% do faturamento da pessoa jurídica, limitada a R$ 50 milhões por infração, são algumas das sanções administrativas que a Autoridade nacional poderá aplicar em caso de descumprimento dos dispositivos da lei.
VERDADE. A LGPD prevê sanções pelo seu descumprimento que vão desde a aplicação de simples advertência com prazo para adoção de medidas corretivas até a aplicação de multa simples de até 2% do faturamento da pessoa jurídica, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada a R$ 50 milhões por infração.

8 – Na Europa, diversas multas já foram aplicadas pelo fato das empresas não estarem em compliance com a lei.
VERDADE. A LGPD é baseada no General Data Protection Regulation (GDPR) que é o Regulamento de Proteção de Dados em vigor na União Europeia. O fato é que logo após sua vigência, muitas empresas de imediato fecharam suas portas, muitas por não conseguirem se adequar à lei a tempo e, para não correr o risco de multas altíssimas, preferiram encerrar suas atividades no país.
Já em outros casos, organizações sofreram sanções em razão de denúncias por não estarem de acordo com alguns requisitos da lei, as multas que chegaram a 400 mil euros. Reparem que não houve nenhum incidente de vazamento de dados, somente a denúncia de não oferecer a segurança adequada ao titular dos dados pessoais.

9 – Minha empresa é de pequeno porte e por este motivo não preciso me adequar.
MITO. Não importa o porte da empresa, o número de funcionários ou o ramo de atuação, se ela realiza qualquer tipo de tratamento de dados pessoais, deverá se adequar com os meios proporcionais e necessários.
Além do mais, pequenas e médias empresas que não estiverem adequadas a lei, ficarão impossibilitadas de prestar serviços para grandes organizações e industrias, uma vez que a empresa é responsável pelos dados que compartilha com outra, razão pela qual tal empresa de grande porte não compartilhará dados com empresas que não estão de acordo com as normas de proteção de dados e que não ofereçam segurança aos titulares dos dados, deixando de contrata-las.

10. Um documento afirmando que a organização está em compliance com a LGPD será suficiente para afastar qualquer penalidade decorrente da sua violação.
MITO. Muito pelo contrário. A elaboração de relatórios e revisão e elaboração de documentos acerca da proteção de dados pessoais é apenas uma das fases a serem adotadas para a empresa se adequar as normas de proteção de dados. Como mencionado acima, trata-se de uma verdadeira mudança de cultura a ser adotada dentro das empresas, que deverão, necessariamente, incluir equipes multidisciplinares responsáveis pela obtenção do engajamento de todos os empregados, colaboradores e terceiros que possuam relação direta com os negócios realizados, um vez que todos os elos da cadeia poderão, de alguma forma, violar as normas de proteção de dados pessoais, acarretando responsabilidade para a empresa.

    Deste modo, recomenda-se que as empresas abordem de imediato este assunto em suas pautas para que as obrigações e despesas para a obtenção do compliance em proteção de dados pessoais já estejam incluídas nas ações deste ano.