O risco legal e regulatório da LGPD

O risco legal e regulatório da LGPD

Leandro Augusto e Isabella Becker*

05 de dezembro de 2020 | 08h00

Leandro Augusto e Isabella Becker. FOTOS: DIVULGAÇÃO

A pandemia causada pela covid-19 instaurou um cenário de incerteza sobre os prazos de vigência e aplicações de sanções referentes à Lei Geral de Proteção de Dados Pessoais (LGPD), impossibilitando a previsão de cenários de aplicabilidade, inclusive por especialistas. Mesmo com as execuções de sanções previstas apenas para agosto do ano que vem, isso não exime as empresas da adequação à legislação até lá, uma vez que existem outras formas de penalização que já vêm sendo impostas para além da sanção administrativa.

Em setembro deste ano, a lei finalmente entrou em vigor, embora devido à Lei 14.010, de 10 de junho de 2020, as sanções aplicadas pela Agência Nacional de Proteção de Dados (ANPD) só podem ser aplicadas após o mês de agosto. Com isso, em relação às sanções administrativas tratadas pelo artigo 52 da LGPD, não há segurança jurídica sobre a possibilidade de retroação. Infrações eventualmente cometidas até agosto do próximo ano já poderão ser objetos de sanções pela ANPD tendo em vista que a legislação já está em vigor.

Dentro desse cenário, a entrada da LGPD no ordenamento jurídico brasileiro significa dizer que, inclusive, os direitos dispostos na lei são executáveis, e de acordo com o que contempla a Constituição Federal Brasileira, no artigo 5º, inciso XXXV, estes não serão excluídos de apreciação pelo Poder Judiciário. Dessa forma, o judiciário possui competência, legitimidade e ainda, obrigação, de apreciar qualquer demanda relacionada aos direitos vigentes, como já tem sido observado. Uma simples busca no Tribunal de Justiça do Estado de São Paulo (TJ-SP) mostra já mais de vinte sentenças que foram proferidas com a temática da LGPD, como o de construtora que foi obrigada a indenizar titular pelo uso indevido de dados pessoais.

Com essa conjuntura, não é apenas o TJ-SP que vem ganhando destaque na aplicabilidade da LGPD, tribunais estaduais e regionais já proferiram as primeiras sentenças dentro dessa seara. O próprio 4º Tribunal Regional do Trabalho proferiu, recentemente, uma relevante sentença condenatória, no valor de um milhão de reais, em razão de compartilhamento de dados pessoais de colaboradores à terceiros de forma indevida, desviando-se da finalidade original e contrariamente à legislação.

Ainda vale a destacar que, apesar de não ser um órgão público, os sites de reclamações sobre empresas têm registrado, em média, vinte denúncias por dia de situações na qual os direitos não são respeitados ou dados são tratados de maneira indevida. Apesar de tratar-se de um fórum extrajudicial, o registro de tais queixas sempre traz amparo e evidência para a necessidade de execução de direitos no âmbito judicial por órgãos públicos.

Com isso, portanto, não é preciso esperar o início do prazo para execuções de sanções previsto para agosto, pois a LGPD já está vigente e órgãos públicos e isso tem ficado claro por meio da criação de jurisprudência e aplicação da lei. A adequação é urgente e necessária, caso contrário, apenas por boas práticas de mercado, mas agora também, pelo risco legal e regulatório que começa a vigorar.

*Leandro Augusto é sócio-líder de segurança cibernética da KPMG; Isabella Becker é gerente da KPMG

Comentários

Os comentários são exclusivos para assinantes do Estadão.