A Lei Geral de Proteção de Dados, que entrou em vigor em setembro de 2020, trouxe no seu texto a necessidade da criação de uma Autoridade Nacional que, de acordo com o inciso XIX do artigo 5º da LGPD, seria um “órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento desta Lei em todo o território nacional“. Ou seja, trouxe a criação de um órgão da administração pública que ficaria encarregado de realizar a fiscalização das empresas no que tange à adesão das mesmas à Lei Geral de Proteção de Dados.
Ocorre que a vacatio legis que incidiu na Lei Geral de Proteção de Dados fez com que a Autoridade Nacional de Proteção de Dados atrasasse a sua atuação, retardando os processos de fiscalização, cuja finalidade seria verificar se as empresas estariam, ou não, agindo em consonância com as diretrizes da Lei. Somente em Janeiro do presente ano, 2022, é que a ANPD deu início às suas atividades.
Em que pese o atraso na vigência da LGPD e a demora no começo da atuação da ANPD, muitas empresas deixaram de realizar a implementação da Lei Geral de Proteção de Dados. Isso fez com que diversas companhias atrasassem o data mapping e o consequente procedimento de mudança institucional e de readequação das suas políticas e práticas internas de acordo com o que dispõe o texto legal supramencionado.
Ou seja, a demora do início das fiscalizações pela ANPD, bem como a sua inércia, haja vista que pouquíssimos procedimentos administrativos foram instaurados desde o começo do ano, tem feito com que certas empresas deixassem em stand by o processo de implementação da LGPD, seguindo com o tratamento, muitas vezes, inadequado de dados pessoais de colaboradores, clientes e terceiros.
De acordo com o texto legal, a ANPD, além de advertências administrativas, pode aplicar multas aos agentes de tratamento de dados. Essas multas podem ser simples, até 2% (dois por cento) do faturamento da empresa no seu último exercício, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração, ou, então, diárias, observando os mesmos limites. Inobstante a isso, essas multas poderão ser publicizadas e os dados pessoais que transitam pelos agentes de tratamento poderão ser bloqueados e a empresa deixará de ter acesso a essas informações.
Nesse sentido, tem-se a leitura de que a ausência de fiscalização e penalidades impostas pela ANPD até agora seria um sinal de que, supostamente, as empresas estariam em conformidade com a Lei, haja vista que houveram pouquíssimas medidas tomadas no que tange o mau tratamento dos dados até agora ou, então que as medidas necessárias de ajustes das empresas de acordo com a LGPD não teriam relevância na atual conjuntura.
Enquanto isso, outros órgãos como o PROCON, o Ministério Público, SENACON e Tribunais estão realizando um controle muito ativo e sendo os responsáveis pela aplicação da LGPD e pela fiscalização do tratamento dos dados, já que a ANPD ainda não tomou frente a essa atividade. Essa atuação paliativa por outros órgãos ocorre uma vez que a LGPD incide em outras legislações, assim como há a inércia de atuação pela Autoridade Nacional competente.
Por exemplo, o PROCON-SP notificou o Mercado Livre pelo vazamento de dados ocorrido na primeira semana de Março de 2022[1], requerendo que a empresa comprovasse que adota medidas de segurança para proteger dados pessoais de acessos não autorizados e de eventuais situações acidentais. Já o Conselho Nacional do Ministério Público vem promovendo eventos e workshops sobre a Lei Geral de Proteção de Dados[2]. Em que pese, é nítido que outros órgãos vêm atuando à frente da LGPD, a fim de garantir a implementação da lei e evitar os gaps enquanto a ANPD ainda não exerce seu papel.
Ainda, inúmeras empresas seguem suas atividades sem realizar, sequer, uma análise de risco desses meios utilizados no tratamento de dados pessoais, deixando de aplicar medidas jurídicas, técnicas, de comunicação e gestão para corrigir eventuais vazamentos ou mau uso de informações pessoais ante a ausência de atuação da ANPD.
Assim, é necessário que haja uma intensificação na atuação por parte da Autoridade Nacional de Proteção de Dados, de modo que se acentue o número de fiscalizações, multas e penalidades às empresas que não estiverem em conformidade com a legislação. Essa intensificação fará com que aquelas companhias que estão inertes em relação às diretrizes da LGPD comecem o seu processo de implementação das medidas trazidas pelo texto legal, passando a realizar a adequação institucional dos seus fluxos e procedimentos no que se refere ao tratamento de dados pessoais.
O começo da atuação da ANPD fará com que mais empresas venham a dar início ao seu processo de implementação e, portanto, as companhias estarão agindo de acordo com a Lei Geral de Proteção de Dados, dando o devido tratamento aos dados pessoais que circulam nos referidos agentes de tratamento e, consequentemente, o número de vazamento de informações e ataques hackers diminuirão, haja vista que as empresas estarão blindadas e distantes desse tipo de acontecimento.
[1] Acesso: https://www.procon.sp.gov.br/procon-sp-notifica-mercado-livre/
[2] Acesso: https://www.cnmp.mp.br/portal/todas-as-noticias/14571-lei-geral-de-protecao-de-dados-e-tratada-em-workshop-voltado-para-o-ministerio-publico