LGPD: multas podem ser aplicadas a partir de 2023

Vazamento de informações é considerado crime sujeito a penalidades que incluem advertência e multa. Empresas de comunicação também devem se atentar a manipulação de dados de quem visita suas páginas na internet

A partir de 2023, tem início um novo capítulo na trajetória de regulamentação do uso de dados no Brasil. Parte das ações propostas na agenda regulatória entra em vigor, como a aplicação de multas e sanções previstas pela Lei nº 13.709/2018, conhecida como Lei Geral de Proteção de Dados (LGPD). A LGPD não barra a atividade jornalística, mas as empresas do setor devem ter cuidado como manipulam os dados de seus assinantes e de seus leitores no site ou publicações digitais e impressa, como também o pessoal de rádio e TV. Na área de comunicação corporativa, os assessores devem trabalhar junto com as empresas para adequação à legislação. Profissionais de marketing também devem ter cuidados adicionais agora quando fazem campanhas para captação de dados para base de leads.

O acesso a site noticiosos e até a área de imprensa das empresas, e a assinatura de newsletters são exemplos de momentos digitais onde dados de cidadãos que as empresas tem acesso. Para navegar em determinadas áreas de um portal e solicitar o envio de noticiário, é exigido o preenchimento de formulários com dados pessoais e até profissionais. Nesses casos os veículos de comunicação deverão informar ao usuário o que é feito de seus dados.

A liberdade de expressão protege os jornalistas na apuração de notícias e esse trabalho ficou fora da LGPD. Por outro lado, essa lei não pode ser utilizada para limitar o trabalho jornalístico, ou seja, quando o Poder Público bloqueia alguma informação de interesse público questionada por algum jornalista. Essa é uma interpretação da Data Privacy Brasil, organização especializada em pesquisa sobre uso de dados no país, e da Abraji, associação que reúne jornalistas investigativos, em posicionamentos desde o ano passado. “Pelas características particulares do jornalismo, o tratamento de dados pessoais não exige a aplicação da LGPD, especialmente no que tange ao jornalismo investigativo, que apura e divulga informações confidenciais de interesse público”, acrescentam.

Mas isso tem acontecido quando a imprensa se utiliza da Lei de Acesso à Informação. Quando jornalistas invocaram a Lei de Acesso à Informação para ter acesso a carteira de vacinação do então presidente Bolsonaro, que negava ter sido vacinado contra a covid-19, o governo federal alegou que não ia liberar a informação que invadia a privacidade do presidente. Mais recentemente, seis jornais, entre eles a Folha, Estadão e O Globo pediram o acesso às filmagens feitas pelas câmeras de seguranças na invasão dos prédios públicos durante o ataque de extremistas bolsonaristas, no início deste ano, via Lei de Acesso à Informação. O Gabinete de Segurança Institucional e  o Exército negaram os pedidos alegando que violava a segurança do presidente. Apesar das negativas, partes desses vídeos circularam livremente nas redes sociais.

Mariana Landim, advogada de Proteção de Dados do Escritório Caldeira, Lôbo e Ottoni Advogados, pondera, em um de seus artigos, que os dados pessoais têm circulado livremente na internet “e, não raras vezes, a sua exposição é confundida com liberdade de expressão”. Em sua análise, ela diz que existe um impasse entre o interesse público sob a perspectiva jurídica e o interesse público sob a perspectiva jornalística. A LGPD esbarra nesse conflito, como já acontece na Lei de Acesso à Informação.

Regras para empresas em geral 

As organizações públicas e privadas devem redobrar os cuidados e colocar em prática uma política de compliance direcionada às ações de coleta, armazenamento e uso de dados pessoais de consumidores, fornecedores, parceiros e funcionários.

O vazamento das informações é considerado crime sujeito a penalidades, como advertência, multa com valor de até 2% do faturamento, suspensão do banco de dados e, até mesmo, proibição parcial ou total das atividades.

Segundo o documento publicado pela Autoridade Nacional de Proteção de Dados (ANPD), a agenda regulatória prevê ações que serão implantadas em quatro fases. A primeira reúne iniciativas que têm sido trabalhadas desde 2021 e, agora, serão concluídas. Na lista está a instituição do Regulamento de Dosimetria e Aplicação de Sanções Administrativas, responsável por colocar em vigor a aplicação de multas e demais sanções.

A segunda fase engloba ações que serão colocadas em prática no prazo de um ano. Os projetos da terceira etapa terão o prazo de 18 meses para entrarem em vigor. Por fim, a última etapa será concluída em dois anos.

Como se adaptar

A conformidade com a legislação é o caminho para que as organizações evitem problemas junto à ANPD. Para isso, a orientação é não só ter um programa de compliance ativo, mas assegurar que o trabalho tem sido realizado de forma eficiente.

De acordo com o Instituto Brasileiro de Governança Corporativa (IBGC), o compliance deve ser visto além de uma atividade para o cumprimento de regras. A organização deve compreendê-lo como um guia de princípios e valores que irão nortear a construção e a consolidação de uma cultura organizacional com foco na longevidade.

Por isso, na avaliação do IBGC, a eficiência do compliance está diretamente relacionada ao envolvimento e engajamento da equipe. Os profissionais do setor devem dispor de ferramentas que possam auxiliar o dia a dia de trabalho, como canal de denúncias e softwares específicos.

A rotina de trabalho deve incluir a realização de avaliação de riscos, reuniões com gestores, elaboração de planos de treinamento de compliance, monitoramento periódico das práticas implantadas, dentre outras atividades.

Através de um programa de compliance eficiente, a organização consegue identificar possíveis riscos de descumprimento da legislação e, assim, criar estratégias para evitá-los.

Conheça as ações da agenda regulatória para 2023

Além da aplicação de multas e sanções, a primeira fase da agenda regulatória inclui a regulamentação dos direitos dos titulares de dados pessoais, a criação de um formulário e a definição de prazo para comunicar incidentes de segurança à ANPD.

Neste primeiro momento, também estão previstas a criação de documentos para orientação específica sobre a transferência internacional de dados pessoais; o uso de dados sensíveis por instituições religiosas; o tratamento adequado das informações para fim acadêmico e por parte do sistema de educação da União.

A edição do Relatório de Impacto à Proteção de Dados Pessoais, a criação de normas complementares sobre as atribuições dos encarregados e os esclarecimentos sobre as técnicas de anonimização e de pseudonimização também são ações aguardadas para a primeira fase da agenda regulatória.

De acordo com a ANPD, na segunda fase serão estabelecidas as regras para o tratamento de dados pessoais de menores de idade, o compartilhamento das informações pelo poder público e os critérios para o reconhecimento de boas práticas de governança nas organizações. A expectativa é que todas as ações entrem em vigor ainda em 2023.

Conteúdo RelacionadoArtigos

Próximo Artigo

Portal da Comunicação

FAÇA LOGIN ABAIXO

Recupere sua Senha

Por favor, insira seu usuário ou email