No dia 10 de agosto de 2021, o Presidente da República publicou decreto designando os membros que farão parte do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade (CNPD), órgão consultivo integrante da Autoridade Nacional de Proteção de Dados (ANPD) e cuja estrutura está prevista no Artigo 58-A, da Lei Geral de Proteção de Dados nacional (LGPD ou Lei No. 13.709/18). Com um total de 23 membros, tem, em sua composição, representantes do poder público e da sociedade civil, funcionando como mecanismo de participação institucionalizada.
Dentre as suas competências, elencadas no Artigo 58-B da LGPD, estão a proposição de diretrizes estratégicas, o fornecimento de subsídios para a elaboração da Política Nacional de Proteção de Dados Pessoais e da Privacidade e para a atuação da ANPD, e sugestão de ações a serem realizadas pela ANPD.
O CNPD deverá reunir-se três vezes ao ano em caráter ordinário e, sempre que convocado pelo seu Presidente, em caráter extraordinário.
A estruturação do CNPD é importante, especialmente neste momento em que se inicia a atuação fiscalizatória da ANPD, com a possibilidade de aplicação das sanções previstas na LGPD. Espera-se que até 2022 a ANPD flexibilize e mitigue as normas da LGPD para os micro e pequenos empresários, em razão da sua menor estrutura de adaptação às normas de proteção de dados. Ou seja, muitos empresários do segmento do e-commerce, desde que com estrutura diminuta, poderão contar com a mitigação das normas em seu benefício.
Nessa fase inicial, o foco da autoridade deve continuar sendo a orientação das organizações em como tratar os dados pessoais dos titulares de forma segura, estimulando as organizações à elaboração de programas internos de governança de proteção de dados. Tais programas são de suma importância para o e-commerce, principalmente no que se refere aos planos de continuidade dos negócios quando houver, por exemplo, acesso não autorizado aos dados pessoais.
Não obstante o foco de conscientização, a ação fiscalizatória da ANPD já é possível desde 1º de agosto de 2021. E a não adequação pode implicar em sanções que vão da advertência a multas na razão de até R$ 50 milhões, incluindo a proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
Ressalte-se que a LGPD foi publicada em 15 de agosto de 2018, de forma que as organizações tiveram quase três anos para a adequação.
Diante da iminência mencionada ação fiscalizatória, deve-se atentar para o fato de que os projetos de implementação, adequação e conformidade à LGPD devem ser necessariamente multidisciplinares, envolvendo as áreas de legal e TI, dentre outras. Adicionalmente, é importante que seja dada continuidade à implementação, com planos de governança adequados à estrutura e modelo do negócio, com a capacidade de atualização e transmissão dos conhecimentos sobre proteção de dados e privacidade. A conscientização exige educação contínua dos profissionais da organização. Não obstante, é recomendável que os empresários do e-commerce nomeiem um encarregado de tratamento de dados pessoais, o DPO, para que haja um responsável designado que sirva de principal ponto no que se refere às atividades de tratamento de dados pessoais.
Por exemplo, o DPO poderá auxiliar a empresa de e-commerce no mapeamento dos dados pessoais que circulam nas suas atividades, atentando-se para o fato de que não só os dados pessoais dos consumidores devem ser protegidos, mas também os dados dos seus colaboradores, empregados (diretamente ou mesmo terceirizados), dentre outros. O DPO, ainda, será a ponte de comunicação com a ANPD. Ou seja, a questão de compliance com a LGPD não se restringe aos negócios B2C.
Um mapeamento adequado incluirá todas as áreas da empresa, indicando-se, para cada dado pessoal tratado identificado, a base legal pertinente, finalidade e tempo de retenção.
Mas organizações não devem ser impulsionadas à implementação e adequação somente em razão do medo das sanções, pois há outras “penas” que podem ser sofridas pela não conformidade. Por exemplo, o dano reputacional é inestimável, diferentemente de uma multa pecuniária que é limitada em seu valor legalmente.
Adicionalmente, pode-se vislumbrar uma maior ameaça vindo do próprio judiciário e dos titulares de dados, que, inclusive com base na sua condição de consumidor ou trabalhador, muitas vezes, poderão exigir o cumprimento da lei de forma individualizada, inclusive na forma de reparações.
Ressalte-se, ainda, que a aplicação das sanções previstas na LGPD não substitui a aplicação de outras sanções administrativas, civis ou penais, previstas em legislação específica, como aquelas previstas na Lei No. 8.078/90 (Código de Defesa do Consumidor). Destaque-se, ainda, que todo aquele que produz um dano a outra pessoa mediante ato ilícito deve repará-la, nos termos do Artigo 927, do Código Civil (Lei No. 10.406/02).
Finalmente, apesar de legalmente previstas, as sanções pecuniárias ainda não podem ser, de fato, aplicadas, tendo em vista que o Artigo 53, da LGPD, impõe que a ANPD definirá as metodologias que orientarão o cálculo do valor-base das sanções de multa, por regulamento próprio, que deverá ser previamente publicado (Parágrafo 1º), o que ainda não ocorreu.
A previsão é de que o Regulamento de Fiscalização e de Aplicação de Sanções Administrativas da ANPD seja submetido ao CNPD em breve, tendo em vista as atuais nomeações. A ANPD, ainda, submeterá à consulta pública norma específica para tratar das sanções e dosimetria. Ou seja, existe um caminho considerável antes que as sanções da LGPD sejam diretamente aplicáveis.
Todavia, como já salientado, as organizações não devem pautar a necessidade de conformidade ao temor das sanções administrativas da LGPD, pois as sanções reputacionais impostas pelos stakeholders já estão em vigor.
O post As multas da LGPD e o e-commerce apareceu primeiro em E-Commerce Brasil.
Na próxima semana farei mais um review com depoimento e resenha sobre As multas da LGPD e o e-commerce. Espero ter ajudado a esclarecer o que é, como usar, se funciona e se vale a pena mesmo. Se você tiver alguma dúvida ou quiser adicionar algum comentário deixe abaixo.
Nenhum comentário:
Postar um comentário