Multa da LGPD começa em agosto. Veja as dúvidas que ainda existem sobre a norma

Em entrevista, especialista fala sobre as dúvidas que ainda existem sobre o início da aplicação de multa com base Lei Geral de Proteção de Dados – a começar pela própria fiscalização

A partir de agosto, a Autoridade Nacional de Proteção de Dados (ANPD), órgão que regula, fiscaliza e exerce outras funções com base na Lei Geral de Proteção de Dados Pessoais (LGPD), poderá aplicar as primeiras multas com base na norma de dados pessoais. A multa pode chegar a 2% do faturamento bruto de uma empresa – limitada ao teto de R$ 50 milhões por infração – e o mais grave: a atividade corporativa poderia ser interrompida.

Embora muita empresa diga que já pronta para a fiscalização, o fato é que existem muitas dúvidas e algumas delas ainda precisam ser respondidas pela ANPD. Um exemplo é o chamado legítimo interesse, uma das permissões para o tratamento de dados pessoais ao lado do consentimento. A questão é: você saberia dizer se a sua empresa poderia alegar o legítimo interesse no tratamento de dados? Por enquanto, a Autoridade também não se manifestou sobre o tema.

Mais: como será feito a fiscalização nas empresas? A lei fala que o uso de dados poderá ocorrer em caso de proteção ao crédito. Mas quais seriam as informações necessárias para proteger o crédito oferecido pelas empresas?

Essas e outras questões foram temas da conversa entre a Consumidor Moderno com Luís Fernando Prado, advogado, mestre em Direito Digital pela Universidade de Barcelona, professor e uma das autoridades na proteção de dados pessoais.

Luís Fernando Prado, advogado e especialista em direito digital

 A aplicação da multa em agosto: o que esperar?

As sanções entram em vigor a partir de 1 de agosto, mas a Autoridade (ANPD) ainda precisa definir como elas serão aplicadas. A ANPD está trabalhando em uma regulamentação de como vai ser aplicada essa sanção, inclusive, o texto sobre o assunto, está sob consulta pública até o final de junho. A expectativa é que no começo de agosto ele seja publicado. Então, não exatamente no dia 1 de agosto a ANPD estará totalmente capaz de aplicar as sanções, mas sim, espera-se, a partir de meados de agosto.

De qualquer forma, sentimos que a Autoridade vai preferir uma abordagem mais educativa no início, pois ela sabe e reconhece que precisa esclarecer alguns pontos da LGPD. Então, possivelmente, a autoridade vai sentir muito o comportamento da empresa que está sendo acusada ou está sob investigação de alguma violação. Quanto mais a empresa colaborar, há menos chance de ela tomar uma sanção de início. No máximo será uma advertência ou uma recomendação da autoridade de como corrigir o que a ANPD encontrou de errado.

Por outro lado, as empresas que deram às costas para a Autoridade e não se colocarem à disposição para o diálogo, existe a tendência de que o grau da conversa suba.

O funcionamento da fiscalização da ANPD 

O que temos são confirmações do que já está previsto na lei (LGPD). Um dos pontos é que a Autoridade poderá agir de ofício. O que isso significa? Além das reclamações e as denúncias da população contra as empresas ou contra os agentes de tratamento, a Autoridade poderá acordar um dia e dizer: “Eu tenho elementos aqui para investigar determinada empresa, e vou investigar”. Isso é uma investigação de ofício.

Outra novidade é que o consumidor deverá, primeiramente, tentar resolver o problema de dados com a empresa. A autoridade seria um segundo grau, uma segunda etapa. Se eu perceber ou sentir que a empresa não foi capaz de me atender, daí eu recorro à Autoridade. Então, como pessoa física, eu preciso demonstrar que tentei resolver junto à empresa. Daí a autoridade pode agir.

Isso (ANPD como segunda instância) vai acontecer por causa do tamanho do nosso país. Se não tivermos a necessidade de as pessoas resolverem antes com as empresas, a autoridade terá muito trabalho. Hoje existem 30 pessoas trabalhando na autoridade para cuidar da proteção de dados no Brasil. É um número desafiador para a Autoridade operar.

Outra novidade (da fiscalização) é que o consumidor deverá, primeiramente, tentar resolver o problema de dados com a empresa. A autoridade seria um segundo grau, uma segunda etapa

Além disso, talvez, não será uma única reclamação na autoridade que vai fazer uma empresa ser investigada ou punida, mas 10 ou 20 reclamações por semana. Isso fará a autoridade atuar e autuar com mais afinco. Neste momento, percebemos uma certa angústia da autoridade em relação aos volumes de interação e de trabalho somente com a parte da fiscalização, que é só uma das frentes de atuação da ANPD. Há ainda a parte de regulamentação, de conscientização e de disseminação da proteção de dados perante a sociedade. Isso deve gerar um acúmulo de trabalho para a autoridade.

O legítimo interesse

É difícil termos um conceito único do que é legítimo interesse. Nem na Europa existe esse consenso e, talvez, a intenção do legislador não tenha sido justamente criar um consenso sobre o tema. A ideia é deixar a análise para cada caso. É um conceito que importamos da Europa e, claro, vamos começar a desenhar alguns limites para o legítimo interesse. Mas é difícil construir esses limites sem orientação da Autoridade Nacional de Proteção de Dados.

Como exemplo, imagine que eu, consumidor, tenho o hábito de comprar café em um e-commerce todo fim de mês. Estando claro na política de privacidade, é natural que ele mande uma publicidade de café no fim do mês. Afinal de contas, ele, consumidor, sabe disso e tem essa informação. Talvez seja o exemplo mais clássico do legítimo interesse.

Mas quais os desafios que vejo para o legítimo interesse no Brasil? Primeiro, o próprio reconhecimento da sua existência. Se você chega hoje no Poder Judiciário e diz o seguinte: Olha, eu fiz essa ação de marketing, ativei essas pessoas aqui e fiz tudo isso base no legítimo interesse e não no consentimento. A chance de um juiz achar que você está enrolando ele é grande. Ele vai achar que você está enrolando.

Eu, sinceramente, acho que não necessariamente o legítimo interesse é pior para o consumidor, para o titular de dados, que o consentimento. Até porque o que temos visto de consentimento mau coletado…

Sinceramente, eu penso que temos os dois desafios aqui no Brasil: primeiro interpretar e aplicar corretamente o legítimo interesse e, o segundo, é também interpretar e aplicar corretamente o próprio consentimento. A banalização do consentimento não é o caminho.

Proteção ao crédito e exercício legal do direito 

Há bases legais mais polêmicas que o próprio legítimo interesse no Brasil. Se a gente pegar a proteção ao crédito, que é outra base legal, existem outras questões. Afinal, quais dados são necessários para a promoção da proteção ao crédito? Penso que é outra carta em branco.

Eu posso coletar um monte de dados e alegar proteção ao crédito? Se a gente tivesse na Europa, a proteção ao crédito estaria dentro do legítimo interesse, ela não existe na Europa.

Mas quais os desafios que vejo para o legítimo interesse? Primeiro, o reconhecimento da sua existência. Se você chega hoje no Judiciário e diz: Olha, eu fiz essa ação de marketing, ativei essas pessoas aqui e fiz tudo isso base no legítimo interesse e não no consentimento. A chance de um juiz achar que você está enrolando ele é grande

Aqui no Brasil temos essa cultura de índices de fraudes e de inadimplência, além de facilitação de crédito, pois toda compra pode ser parcelada. É uma cultura bem nossa e o legislador optou por colocar uma base legal específica para isso. Por outro lado, ele não trouxe as balizas do que se entende por proteção ao crédito, até onde eu posso ir, quais dados estariam na proteção ao crédito e quais dados seriam abusivos.

Temos ainda aqui o exercício regular do direito. Esse eu adoro! A empresa vai justificar qualquer coleta de dados com base nisso. O cliente pede para excluir a conta e daí eu rejeito totalmente o pedido dele apenas por falar que eu preciso guardar os dados para exercer o meu direito. Qual é o direito?

Eu penso que estão no Brasil e não aparecem na GDPR (lei europeia de dados). Elas são criações nossas e precisam ser tão discutidas tanto quanto o legítimo interesse. Então, deixo esse alerta, inclusive para nós, operadores do direito, e todo mundo que lida e interpreta a LGPD: sim, precisamos estudar o legítimo interesse, mas precisamos entender também as outras bases legais que não existem na Europa. Elas estariam, quando muito, dentro de um legítimo interesse.

A autoridade vai ter que nos guiar em relação a isso. Infelizmente, a autoridade tem bastante trabalho e, na agenda regulatório dela do biênio (a ANPD possui uma agenda de temas que serão discutidos pelos próximos dois anos) que ela publicou, ela prevê um guia sobre as bases legais, que ficou lá para o final. Teremos um desafio de construir o avião em pleno voo.

Os principais alvos da Autoridade no início

Eu não diria que é um primeiro alvo, mas temos o primeiro grande case da Autoridade, que é a mudança de política de privacidade do WhatsApp. Eu acho que a autoridade vai acabar se apegando aos casos com maior apelo popular, ou seja, casos de empresas, aplicativos e ferramentas que são usadas pela maioria dos brasileiros conectados à internet.

Penso que a autoridade vai se debruçar um pouco sobre esses casos até para servir de exemplo. Ela ainda não vai ter foco para um setor. Até por uma questão de eficiência, a ANPD vai tentar, com um trabalho só, fazer algo que sirva de exemplo para a sociedade como um todo.

É uma tendência que veremos também no Brasil: uma reclamação que antes seria uma queixa de consumo poderá se transformar em uma reclamação com base na proteção de dados. 

Não é tecnicamente a melhor estratégia, mas não tem muito como evitar o fato de as atividades punitivas em geral focarem nos grandes players. Vai ser o que gerar mais mídia. Infelizmente, entre escolher um caso com uma reclamação só e um e-commerce com 100 mil reclamações por dia, qual você acha que eu vou investigar primeiro? Não vejo como escapar, vai acabar sendo assim.

A fiscalização nas cidades e o papel dos Procons

A gente vai precisar de fato dessa capilaridade (participação dos Procons e outros órgãos). A autoridade sabe disso, tanto que já firmou acordo com a Secretaria Nacional do Consumidor (Senacon) acaba sendo a autoridade competente para regulamentar, fiscalizar e centralizar o Sistema Nacional de Defesa do Consumidor. Então, teremos os Procons atuando. E esse é um ponto de dúvida e inquietação para as próprias empresas. Bom, além de Procon, Ministérios Públicos, IDEC e outras associações que defendem os consumidores, agora eu vou ter a ANPD? Sim, vai ter ANPD.

Até por conta disso, eu penso que a maioria das solicitações (dos consumidores) vão se confundir com as reclamações de consumo. A gente vê muito isso na Europa. Se uma pessoa não consegue o reembolso de uma passagem aérea que ela comprou, e ela teria direito porque o voo foi cancelado, eu posso levar o debate para a questão de dado pessoal? Ela, consumidora, poderia encaixar o assunto da seguinte maneira: ‘Ah, estou pedindo reembolso e não estou conseguindo. Isso ocorre porque a empresa está me pedindo mais dados do que deveria a partir de uma decisão automatizada’. Então, já tem consumidor colocando a proteção de dados para resolver o problema de consumo dele e essa é uma tendência que veremos também no Brasil: uma reclamação que antes seria uma queixa de consumo poderá se transformar em uma reclamação com base na proteção de dados.

O Procon de São Paulo colocou um tempo atrás, no site, uma seção só para reclamação envolvendo LGPD e proteção de dados. O que talvez não possa acontecer no Brasil por vedação do nosso Direito é a empresa ser punida duas vezes pelo mesmo fato. Em caso de vazamento de dados, existe punição tanto na esfera consumerista quanto na esfera de proteção de dados. No entanto, no Brasil, há a vedação do bis in idem, ou seja, você ser punido duas vezes pelo mesmo ocorrido. As autoridades vão precisar se conversar.


+ Notícias

Otimismo e inflação: 6 CEOs dos bancos falam sobre o momento econômico do País

Por dentro do mundo ilegal da TV Box




Acesse a edição:

MAIS LIDAS

VEJA MAIS

ÚLTIMAS

VEJA MAIS