Cinco anos após sanção da LGPD, empresas ainda têm o desafio de adequação

Advogadas destacam importância de as companhias adequarem-se à legislação vigente. (Foto: Divulgação)

A Lei Geral de Proteção de Dados (LGPD) completa cinco anos em 2023. Para as empresas que já concluíram o processo de adequação é fundamental continuar com ações de conscientização entre colaboradores e entender que cumprir as diretrizes, de certa forma, é um projeto que nunca termina. Uma vez ‘’organizada a casa’’, é preciso mantê-la assim definitivamente, como sugerem advogadas especializadas na área. No Dia Internacional de Proteção de Dados, elas apontam este ano como crucial na regulamentação a para sanar dúvidas sobre as normas.

Lídia Lage, advogada do escritório Sperling Advogados. (Foto:Divulgação)

“Podemos esperar, para 2023, um reaquecimento da demanda pelas empresas, especialmente considerando a perspectiva de regulação de diversos temas da LGPD pela Autoridade Nacional de Proteção de Dados (ANPD) – com destaque para a publicação da resolução sobre a dosimetria das sanções administrativas”, destaca Lídia Lage, do escritório Sperling Advogados.

A publicação da resolução sobre a dosimetria das sanções administrativas deve ocorrer ainda no primeiro trimestre e permitirá quantificar de maneira precisa os riscos da não adequação, além de dosar a penalidade a partir do grau da infração sob o gerenciamento do ciclo de vida dos dados.

Carolina Mendonça de Barros, sócia do escritório Mendonça de Barros Advogados. (Foto:Divulgação)

Carolina Mendonça de Barros, sócia do escritório Mendonça de Barros Advogados, avalia que, a partir da regulamentação da dosimetria das sanções, as empresas possam ficar mais preocupadas em iniciar os processos de adequação ou melhorar a estrutura de proteção de dados que possuem.

“Vimos muitas empresas realizarem uma parte dos projetos de adequação e deixar o restante para um segundo momento. É preciso que o corpo diretivo das organizações compreenda a relevância do tema e o risco que assume ao decidir não investir em privacidade e proteção de dados para tomar a iniciativa de ter essa atividade como uma meta central para 2023”, avalia a sócia.

Maioria das empresas ainda tem dúvidas e não se adequou à legislação
De acordo com a Pesquisa Nacional de Privacidade e Proteção de Dados, realizada pelo Grupo Daryus, 80% das companhias no Brasil não estão completamente adequadas à Lei. Para Lídia Lage, além de o país não ter uma cultura de prevenção, soma-se, ainda, a demora da regulamentação das sanções e da dosimetria da pena pela Autoridade Nacional de Proteção de Dados (ANPD). Para a advogada, a junção desses fatores gera um ceticismo na efetiva eficácia da LGPD. A expectativa da especialista é que a LGPD esteja integralmente regulamentada até o final de 2024, conforme previsto na Agenda Regulatória para o biênio 2023-2024, publicada pela ANPD.

Segundo Lídia Lage, mesmo após cinco anos da publicação, a LGPD ainda gera dúvidas.“A LGPD entrou em vigor com cerca de 20 temas pendentes de regulamentação pela ANPD que, consequentemente, são as principais fontes de dúvidas. Entre os temas, os que geram questionamentos são o Relatório de Impacto aos Dados Pessoais, as questões relacionadas aos direitos dos titulares e à transferência internacional de dados, bem como as medidas de segurança, técnicas e administrativas (incluindo padrões mínimos de segurança) que necessariamente devem ser implementadas pelas empresas”, explica a advogada do Sperling.

Contudo, há expectativa de que a atuação da ANPD não irá priorizar a aplicação de sanções administrativas nas empresas. A atuação primordial da autoridade federal, segundo a advogada, será a de promoção e de fortalecimento de uma cultura de proteção de dados por meio de orientação e conscientização das empresas e da sociedade.

Cultura corporativa é fundamental

De acordo com Carolina, ‘adequar-se à LGPD pressupõe compreender a importância do tema’, desenvolvendo uma cultura corporativa de proteção de dados, que se dará aos poucos. Carolina enfatiza, ainda, que o Brasil é um país de padrão continental e com diferentes níveis de desenvolvimento em cada região, o que implica em avanços específicos a depender do território.

''A LGPD é uma lei essencialmente principiológica, e muitos pontos precisam ser regulamentados. A ANPD já tomou algumas iniciativas nesse sentido, mas há ainda conceitos e situações que geram dúvidas em função de possibilidade de interpretação ou mesmo ausência de parâmetros em função da falta de vivências anteriores'', destaca Carolina.

Mesmo na Europa, segundo a sócia do Mendonça de Barros Advogados, estima-se que pelo menos 30% das empresas ainda não estão adequadas ao regulamento da General Data Protection Regulation (EU GDPR) e, em diversos países, o índice é ainda maior. Para a advogada, se o problema existe em um local em que o tema é discutido desde a década de 1970 e regulamentado desde 1995, não seria diferente em um país do tamanho e com as características desafiadoras do Brasil, que enfrenta “uma crise política, econômica e nova legislação - ainda desconhecida para uma grande parte das pessoas”. Todos estes fatores geram ”uma mudança relativamente lenta”, infere a profissional.

Na União Europeia, por exemplo, onde privacidade e proteção de dados não é assunto novo, Carolina salienta que, além das decisões da Corte Europeia de Justiça, existem também as diretrizes expedidas pelo European Data Protection Board (EDPB), que são materiais de consulta e esclarecimentos sobre assuntos tratados na lei, sempre acompanhados de exemplos práticos.

Já no Brasil, os esclarecimentos vão se estabelecer aos poucos e será preciso paciência para termos um arcabouço robusto de materiais e regulamentações. Ela explica que a ANPD já publicou alguns guias para auxiliar os agentes de tratamento e demais interessados em entender temas relacionados à proteção de dados, tais como guias de gestão informacional, segurança e tratamento de dados pessoais pelo Poder Público, entre outros. Todas as orientações estão disponíveis no site da ANPD.