Lei não prevê graduações nos deveres e responsabilidades conforme o porte das empresas

A conformidade com a Lei Geral de Proteção de Dados Pessoais (LGPD), sancionada no dia 14 de agosto deste ano, pode ser altamente custosa para as pequenas e médias empresas no Brasil, à medida que não foram previstas graduações nos deveres e responsabilidades conforme o porte das companhias, como ocorre com a legislação europeia.

A avaliação é da advogada Karin Klempp Franco, especialista em direito digital e sigilo da informação do escritório de advocacia BTLAW. Segundo Karin, no limite, a ausência de graduação quanto ao porte traz risco e pode criar distorções quanto à facilidade de entrada e manutenção de empresas de menor porte nos mercados que façam uso intensivo de dados. “Setores que atuam, por exemplo, com comércio eletrônico e aplicativos de serviços devem ser os mais afetados”, comenta.

“Embora os segmentos mais impactados pela nova lei sejam justamente aqueles que fazem uso intensivo de dados pessoais, que inclui as empresas da economia digital, podemos ver impactos profundos em setores como o financeiro, de saúde, de segurança e de recursos humanos, dentre vários outros que lidem diariamente com dados pessoais”, acrescenta.

A advogada lembra todavia que, em regra, esses setores já estavam sob normas esparsas de proteção de dados, como aquelas contidas no Marco Civil da Internet, no Código de Defesa do Consumidor e nas leis relativas ao sigilo bancário e profissional, entre outras. “Por outro lado, a Lei Geral da Proteção de Dados Pessoais cria novas obrigações e intensifica a responsabilidade mesmo das empresas que já possuíam alguma regulamentação”, explica.

De qualquer forma, Karin avalia de forma positiva o fato de a nova lei prever a uniformização e a segurança quanto às práticas no tratamento de dados pessoais para todas as empresas instaladas no Brasil. Por exemplo, uma empresa brasileira estará muito melhor preparada para fazer negócios com uma companhia europeia que necessite de transferência de dados entre elas. As organizações também ganharão com o aumento de confiança dos consumidores em seus negócios”, diz.

Como as empresas devem proceder – A advogada Karin Klempp Franco explica que, neste primeiro momento, o mais importante é que as empresas aprendam a identificar os dados pessoais – ou seja, informação relacionada a uma pessoa física identificada ou identificável cuja informação é utilizada pela companhia em seus negócios. “Isso pode não estar óbvio de pronto, especialmente quando a coleta de dados ocorre de forma analógica, como nas listas de presença ou cadastros de portaria”, afirma.

“Só depois de entender os tipos de dados utilizados pela empresa, bem como o propósito de seu uso e a forma como são coletados, armazenados e processados, a empresa pode avaliar o risco a que está exposta e as medidas que precisará tomar para estar conforme a nova lei, que entrará em vigor no início de fevereiro de 2020”, completa.

Na visão de Karin, a LGPD é um avanço na legislação brasileira, à medida em que caminha na mesma direção da tendência mundial e adota os mesmos princípios que vêm sendo instituídos ao redor do mundo, na tentativa de uma maior garantia aos titulares de dados pessoais que são utilizados na atividade empresarial.

“Aliás, essa lei é fruto de intensa discussão entre diversos setores da sociedade, a partir do reconhecimento da importância econômica e ética dos dados pessoais para os negócios. Resta aguardar a regulamentação e a instituição de uma Autoridade de Nacional de Proteção de Dados – que foi vetada na sanção presidencial – para termos certeza de que esse consenso se concretizará na prática. Causou estranheza, ainda, o veto presidencial quanto à mitigação das sanções nas hipóteses de cooperação e de existência de programas de compliance e boas práticas pelo infrator, o que esperamos que seja abordado na regulamentação”, conclui.