LGPD | O que ocorre com empresas penalizadas? Quais são os ajustes necessários?

São Paulo, 22 de julho. Fiz uma ligação telefônica para o atendimento ao cliente da Brastemp para tirar dúvidas sobre a linha de lava-louças da empresa. Logo após tentar fazer a primeira pergunta, ouvi de volta do atendente um pedido: "Por favor, seu nome completo e CPF". Perguntei o motivo, e ele alegou ser parte da política de dados da empresa. Contrariado, informei. Mais um pedido: "Seu endereço?". Depois disso, desliguei.

• O que é LGPD?
• LGPD: especialista lista os 7 impactos para empresas e usuários

O fato aconteceu a menos de duas semanas da LGPD, ou Lei Geral de Proteção de Dados Pessoais, começar a aplicar multas e sanções em todo o Brasil. Elas já estão valendo desde domingo (1º). A lei foi aprovada no longínquo ano de 2018 e já vigora desde setembro do ano passado, mas ainda não podia multar ninguém por causa de uma medida provisória do presidente Jair Bolsonaro, que adiou esse momento para agosto deste ano.

A partir de agora, as empresas que estavam se adequando à norma nos últimos três anos passarão por sua prova de fogo. Mas o exemplo acima, que pediu dados pessoais sem a devida clareza ou objetivo, mostra que ainda há muito trabalho a fazer. Sem falar dos diversos megavazamentos de informações que viraram notícia neste ano.

Procurada, a Whirlpool (empresa dona da marca Brastemp) enviou apenas um comunicado: "A Whirlpool informa que acionou as áreas responsáveis para averiguar o ocorrido e esclarece que revisa constantemente seus protocolos e atualiza seus colaboradores com treinamentos sempre com o objetivo de cumprir regulamentações e melhor atender seus consumidores".

O tamanho do problema

Segundo uma pesquisa recente da BluePex, que desenvolve soluções de segurança corporativa, apenas 4% das pequenas e médias empresas (PMEs) do país estão totalmente preparadas para a nova legislação. Veja outros dados do levantamento:

• 55% do segmento PME estão em busca de informações para se ajustar à LGPD;
• 27% se consideram parcialmente preparadas;
• 12% ainda não iniciaram nenhuma ação para a adequação.

Mas, como vimos no início deste texto, o problema não é exclusivo dos peixes pequenos. Ficou notório o caso da rede de farmácias Raia Drogasil, que orienta seus atendentes a perguntar e coletar o número de CPF dos clientes, com a justificativa de gerar bons descontos em certos medicamentos da cesta de compras. Nas últimas semanas, foi além: passou a pedir o cadastro biométrico da impressão digital. Já noticiamos aqui no Canaltech que os próprios atendentes da Droga Raia justificaram que isso era para atualização de cadastro devido à LGPD.

A questão é que tanto o CPF quanto a biometria se classificam na lei como dados pessoais, cuja coleta e tratamento por parte de empresas e entidades públicas só é possível após o consentimento do portador do dado. Ou seja, nós que temos o poder de autorizar ou vetar que a empresa use nossas informações.

No caso da biometria, a coleta sem motivo é mais grave por ser um dado sensível, onde deve ficar claro a finalidade específica no qual será usado. A LGPD prevê algumas exceções ao consentimento, como "tutela da saúde", mas no caso isso serve para procedimentos médicos ou sanitários, e não para a venda de remédios com descontos.

O grupo Raia Drogasil abrange as farmácias Drogasil, Droga Raia e Onofre, além de empresas como a Healthbit, startup focada em uso de dados para reduzir a sinistralidade de planos de saúde nas grandes empresas. Segundo reportagem do Valor, o negócio a princípio não tem relação direta com as farmácias, mas a pouca transparência na coleta desses dados pode preocupar quanto aos possíveis usos sem as devidas autorizações ou esclarecimentos aos clientes.

Além disso, em São Paulo a prática não fere apenas a LGPD. Desde dezembro, a lei estadual 17.301/2020 proíbe a coleta de CPF para oferecer promoções; no entanto, ela depende de um novo decreto do governo para ser executada, que ainda não foi criado. Pelo menos a empresa voltou atrás na coleta biométrica após a repercussão do caso na imprensa e uma notificação da organização independente Instituto de Defesa do Consumidor (Idec).

A analista de direitos digitais do Idec, Camila Leite Contri, disse que a entidade obteve respostas da rede de farmácias e da Associação Brasileira das Redes de Farmácias e Drogarias (Abrafarma), mas ainda está em contato com ambas para maiores esclarecimentos. "Ainda temos os mesmos receios que alegamos antes, pois não temos uma dimensão nítida e completa sobre para onde esse dado vai e ainda não há clareza da razão para coleta de biometria", disse.

À reportagem, a Raia Drogasil disse que a participação nos programas de descontos "é voluntária" e que "não condiciona" o fornecimento de dados pessoais em troca de "descontos padronizados para todos os clientes". Também afirma que "tanto a rede como as demais empresas do seu grupo econômico não comercializam, em nenhuma hipótese, informações individuais dos cientes com quaisquer terceiros". Sobre a lei estadual 17.301, diz que a lei fala em "exigência" do CPF, e não em "solicitação" em troca de descontos, e como a rede apenas sugere o desconto em troca do dado, continua com a prática.

O "xerife" da LGPD é a Autoridade Nacional de Proteção de Dados (ANPD), criado no ano passado. O órgão pode autuar no âmbito técnico e regulatório, mas o Procon também pode agir se o mau tratamento de dados ferir o Código de Defesa do Consumidor. "Qual a justificativa da coleta [das farmácias]? Estava clara para o cliente? A coleta do CPF condicionou-se a um desconto, mas assim você está comprando o dado do consumidor", opina Guilherme Farid, chefe de gabinete do Procon-SP.

Em uma pesquisa do Procon-SP com 7,4 mil entrevistados, apenas 35% afirmaram conhecer a LGPD. Quase um terço (27,23%) disse saber que seus dados pessoais já vazaram em algum momento. Os dados foram coletados entre maio e junho deste ano.

Quais são as multas e sanções da LGPD?

Os agentes de tratamento de dados — ou seja, empresas e órgãos públicos que coletam informações do público — podem sofrer da autoridade pelo menos uma das seguintes sanções se ferirem a legislação:

• Advertência, que indicará um prazo para adotar ações de correção à falha;
• Multa de até 2% do faturamento da empresa, mas restrito a um teto de R$ 50 milhões por infração;
• Multas diárias, dentro do teto definido no ponto anterior;
• Informar publicamente sobre a infração;
• Bloqueio ou eliminação dos dados pessoais envolvidos na infração.

O que as empresas devem fazer para não serem punidas pela LGPD?

A adaptação à lei não é tarefa simples ou rápida na grande maioria das empresas. O processo de compliance envolve muitas etapas em diversas frentes na segurança da informação, no jurídico, nas documentações, contratos e principalmente na mentalidade de todos os funcionários.

A coisa mais importante a fazer, que está expressamente prevista na lei, é designar um profissional que será encarregado dos dados, também chamado de data privacy officer (DPO). Este funcionário deve ter conhecimento avançado em leis, segurança de dados, tecnologia e governança corporativa. Suas atribuições serão:

• Criar as diretrizes para equipes realizarem as boas práticas do tratamento de dados;
• Receber notificações da ANPD e atualizações da LGPD, repassá-las à empresa e sugerir ações;
• Comunicar-se com os titulares de dados, esclarecendo possíveis problemas e trazendo soluções;
• Executar as atividades atribuídas à LGPD, verificando sempre se elas correspondem ao exigido na lei.

Além disso, a companhia deve fazer ajustes como:

• Identificação dos dados pessoais: por exemplo, quais são públicos, sensíveis ou anonimizados (isto é, não identificam seu portador) para medir a exposição da empresa à LGPD;
• Controle do consentimento e anonimização dos dados: necessário para atender a futuros pedidos dos titulares, com revisão de contratos e processos;
• Relatórios de impacto: mede o atual grau de risco que a empresa corre com o tratamento de dados, e o que pode ser feito para resolver isso;
• Segurança da informação: medidas que devem proteger as informações de vazamentos ou ciberataques;
• Comunicação de incidentes: informações para os órgãos fiscalizatórios, como ANPD e Procon, e à imprensa;
• Auditoria: se todos os dados estão enquadrados nos diferentes tipos de tratamento (coleta, necessidade etc.) previstos na lei.

Para além do trabalho, especialistas dizem que o mais importante, de agora em diante, é mudar a cultura de tratamento de dados das empresas. "Essa nova cultura deve ser cultivada principalmente em tempos de home office, em que a vulnerabilidade se torna ainda mais frágil (...) já que em casa a tendência é que os funcionários 'baixem a guarda', muitas vezes negligenciando as políticas de segurança constantemente reforçadas no ambiente corporativo", disse Carla Prado Manso, data privacy officer e advogada da empresa de segurança de informação da Compugraf, em artigo publicado no Canaltech.

Natália Brotto, sócia-fundadora da empresa de compliance de dados Get Privacy, diz que o engajamento das lideranças da empresa é fundamental para que a adequação à LGPD funcione. Mas isso tem sido difícil. "Eles nem entendem por que que precisam preencher planilhas mapeando processos, saber o que é a proteção de dados, ou por que não podem compartilhar os dados do jeito que quiserem", lamenta.

E agora?

Enquanto as empresas correm atrás do tempo perdido, Carlos Affonso Souza, diretor do ITS-Rio e professor de direito da Universidade do Estado do Rio de Janeiro (UERJ), acredita que a LGPD vai ter que passar pelo mesmo caminho de aprendizados do Código de Defesa do Consumidor, quando este foi implantado no início dos anos 90. "As pessoas precisam saber que elas têm direitos. Isso passa por campanhas midiáticas nos grandes meios, e depende de ações da sociedade civil e de agentes que podem tornar os direitos da LGPD mais acessíveis", explica.

Na ponta das empresas controladoras de dados, Souza acha que as sanções vão pressionar as mais atrasadas no seu programa de adequação. Já quanto à ANPD, vê poucas chances do órgão distribuir multas a rodo desde o primeiro mês. "Com os casos mais emblemáticos de infrações chegando à imprensa, e provável que tenhamos mais conscientização."

E, de fato, a autoridade ainda deverá criar as regras sobre sanções administrativas, após uma consulta pública que durou até junho. Ainda não há uma data para essa minuta de regulamentação sair, mas segundo o site do órgão, está em "fase final de análise e deve, nas próximas semanas, ser remetida ao Conselho Diretor da ANPD para deliberação".

"Com a vigência das multas, a gente tem sentido uma alta de mercado muito grande. A quantidade de propostas (de adequação à LGPD) triplicou nos últimos três meses. Eram para ter começado dois anos atrás, mas se preocuparam com isso só agora. E um grande projeto de adequação não se faz de forma responsável de uma semana para a outra", lamenta Brotto, da Get Privacy.

Eduardo Schultze, líder de inteligência de ameaças da Axur, sugere que as pessoas estejam atentos a cada coleta de dados sem causa aparente, além de cobrar as empresas quando souber de vazamentos de dados ligados a elas. "O usuário final pode prestar bastante atenção quando fizer um cadastro num site ou numa loja e, principalmente, questionar por que o empreendimento está pedindo aquela informação. Os dados pessoais de cada pessoa valem muito, pois podem abrir uma porta para uma série de fraudes que podem chegar na escala de milhões em prejuízo".

Caso você seja lesado em relação a seus dados pessoais, você pode fazer uma denúncia à ANPD neste link, além de procurar o Procon de sua cidade ou estado e/ou a Senacon (Secretaria Nacional do Consumidor). O Procon-SP também tem uma cartilha informativa sobre o assunto.