O dia 25 de maio de 2019 é o aniversário de um ano da entrada em vigor do Regulamento Geral de Proteção de Dados da União Europeia – que ficou conhecido como “GDPR”. Esse marco mundial na legislação de proteção de dados serviu de inspiração para a Lei Geral de Proteção de Dados do Brasil – a “LGPD” – e guiou uma guinada na forma como os reguladores encaram a privacidade e a proteção de dados pessoais. Vejamos o que esse ano de vigência do GDPR pode trazer de exemplos e previsões para a nossa LGPD.
Desde o início da vigência do GDPR até hoje, foram feitas 144 mil petições às autoridades de proteção de dados nacionais e 89 mil notificações de vazamentos de dados, levando à aplicação de multas totalizando mais de 56 milhões de Euros (IAPP, GDPR at One Year: What We Heard from Leading European Regulators, 2019). Enquanto a maior dessas multas, aplicada pela autoridade francesa à Google, Inc., corresponde sozinha a 50 milhões de Euros, temos pelo menos mais quatro delas que ultrapassam os 100 mil Euros em diversos países, e milhares de punições menores, inclusive para pequenas empresas e pessoas agindo por conta própria (CMS Hasche Sigle, GDPR Enforcement Tracker, 2019).
Enquanto a aderência ao GDPR já é lugar-comum na Europa, temos hoje no Brasil um cenário difícil para a adequação. Salvo pelas maiores empresas e integrantes de grupos internacionais, há pouca movimentação para concluir a adequação à LGPD dentro do prazo que termina em de agosto de 2020. O cenário é ainda pior para pequenas e médias empresas, em que quase não se fala sobre proteção de dados. As expectativas são de que apenas poucas empresas estejam de fato adequadas até a data em que a LGPD entrar em vigor.
Isso se deve muito, ao menos no Brasil, a uma percepção de que o cumprimento – ou, antes, o descumprimento – da nova lei não terá impacto relevante nos negócios da empresa. Isso não é o que mostra a prática europeia.
Assim como na Europa, é esperado que no Brasil mesmo as pequenas empresas estejam sujeitas a multas já desde a entrada em vigor da LGPD, dependendo apenas das denúncias dos afetados e da eficiência da Autoridade Brasileira de Proteção de Dados, que ainda não foi estabelecida. Prevemos que os mesmos setores que receberam as maiores multas na Europa sejam os alvos das maiores penalidades no Brasil, quais sejam, big data, saúde, tratamento de dados públicos, e o próprio governo e suas concessionárias. Na verdade, quando se trata de vazamento de dados pessoais, as empresas brasileiras já estão expostas ao risco de ações civis públicas, sendo que algumas delas foram ajuizadas já neste ano pela Unidade Especial de Proteção de Dados e Inteligência Artificial Ministério Público do Distrito Federal e Territórios com pedidos de indenizações coletivas multimilionárias.