A um ano da entrada em vigor da Lei Geral de Proteção de Dados (no 13.709, de 2018), boa parte das empresas ainda não se adaptou ao texto. Em levantamento com cerca de 250 companhias de médio e grande porte, o escritório Viseu Advogados identificou que 46% delas ainda nem iniciaram o processo e, em muitos casos, não há sequer previsão.
Advogados da área afirmam que o processo de adequação é demorado. A lei traz regras sobre compartilhamento de dados de consumidores e impede que sejam divulgados sem autorização, com previsão de pesadas penalidades - desde advertência até multa de 2% sobre o faturamento da empresa, com teto de R$ 50 milhões por infração.
Coordenador da pesquisa, o advogado Gustavo Artese, sócio do Viseu Advogados, destaca que a lei tem prazo de dois anos para entrar em vigor. Geralmente, o prazo é de um ano. "É para as empresas se prepararem porque é uma mudança muito significativa no dia a dia delas", diz.
Pela pesquisa, em 27% das empresas, os departamentos jurídicos vão liderar o processo de adaptação. Em 19% será o setor de TI e em 17% o de compliance. Primeiro, de acordo com especialistas, a empresa precisa de uma "fotografia" da gestão de dados atual para depois implementar controles e ajustar o que não estiver de acordo com a lei. Será mais fácil para as que lidam com menos dados - só com os dos próprios funcionários, por exemplo. Mas é mais exigente para as que também têm clientes e parceiros de negócios ou dados sensíveis, como hospitais.
"Se deixar para a última hora, vai [a empresa] ter problema", afirma a advogada Rubia Ferrão, do escritório Pigão, Ferrão e Fioravante Advogados Associados. O processo, acrescenta a advogada, envolve a procura por profissionais para auxiliar na adaptação à nova lei, que ainda é pequena, além da adequação de sistemas.
Para Rubia, o problema mais grave está ligado ao vazamento de informações, que pode gerar um dano irreparável ao consumidor. "O titular corre o risco de sofrer fraude", diz. O desvio de finalidade no uso dos dados também foi destacado pela advogada.
Hoje, a forma como é feita a coleta de dados não envolve o consentimento do usuário, segundo Guilherme Farid, chefe de gabinete do Procon-SP. Com a lei, a autorização deverá ser dada por escrito e, se for considerada abusiva ou enganosa, poderá ser considerada nula. A norma, afirma ele, soma-se ao Código de Defesa do Consumidor, "não compete com ele".
Os atuais termos de uso, que os titulares de dados costumam não ler, poderão ser considerados inadequados. A lei exige que o consentimento seja livre, informado e inequívoco. Além disso, há previsão de que os consumidores poderão solicitar quais dados poderão ser compartilhados. "Não adianta achar que vai pegar 20% do tempo de um advogado de consumidor e contratos e falar para ele alterar alguma coisa e ver se a empresa se adapta", afirma Alexandre Pacheco, professor e coordenador do Centro de Ensino e Pesquisa em Inovação da FGV Direito SP.
Com a lei, destaca, as empresas passam a ser fiéis depositárias de dados pessoais. "Não adianta pensar que os dados dos clientes são patrimônio da empresa", diz Pacheco. Por isso, as companhias precisam realizar um programa de tratamento de dados e não uma ação pontual, procedimento parecido com o que foi adotado após a entrada em vigor da Lei Anticorrupção (no 12.846, de 2013).
Ainda está pendente a criação da Autoridade Nacional de Proteção de Dados, que irá lidar com a proteção de dados pessoais e segredos comerciais e industriais. O que não impede, segundo o professor, que as empresas já se preparem.
Fonte: Beatriz Olivon via Valor Econômico.