Sancionada em 2018 pelo presidente Michel Temer, a Lei Geral de Proteção de Dados passou a ter vigência plena no dia 1º de agosto. Desde essa data, todas as pessoas (físicas ou jurídicas, inclusive órgãos públicos ou equiparados) que não estiverem em conformidade com as regras podem sofrer punições administrativas aplicáveis pela Autoridade Nacional de Proteção de Dados (ANPD). Essas punições vão desde advertências até multas milionárias.
Embora seja quase certo que a fiscalização, nestes primeiros meses, deva se concentrar em empresas de médio e grande porte, especialmente as que realizam consideráveis volumes de tratamento de dados de consumidores, teoricamente todos já estarão submetidos à plena eficácia da legislação.
Na prática, entretanto, nenhum movimento considerável por parte da ANPD deve ocorrer em um curto prazo, especialmente considerado-se o histórico lento de implantação da legislação e da própria Autoridade, que nem sequer regulamentou as suas regras internas, o processo de aplicação das penalidades e diversos dispositivos da LGPD que dependem de regulamentação.
Para se ter uma ideia, somente em 9 de julho foi que a ANPD publicou a Portaria nº 16, que dispõe sobre o “processo de regulamentação no âmbito da Autoridade Nacional de Proteção de Dados”. Entre outros aspectos, a portaria estabelece procedimentos para a elaboração da agenda regulatória e de atos normativos editados pela ANPD, incluindo regras aplicáveis à realização de consultas à sociedade, à elaboração de Análise de Impacto Regulatório e à Avaliação do Resultado Regulatório.
E mais: nos termos do artigo 7º da portaria, a agenda regulatória tem prazo de até dois anos para ser implementada. Isso demonstra com clareza que, pelo menos quanto às sanções administrativas, apesar do alardeado 1º de agosto, é provável que ainda demore alguns meses para que, efetivamente, as punições comecem a ser aplicadas de forma proativa. Neste primeiro momento, ao que tudo indica, devem limitar-se a denúncias e casos relevantes tornados públicos.
Mas isso não significa que as empresas podem postergar seus processos de conformidade. Procons, Ministérios Públicos, sindicatos e diversas outras entidades estão atentas às infrações e, especialmente, às denúncias de vazamentos e uso abusivo de dados, propondo ações indenizatórias e até mesmo trabalhistas, com base na LGPD e no Código de Defesa do Consumidor, com condenações e acordos vultosos, demonstrando que a Lei Geral de Proteção de Dados não sobrevive apenas de punições administrativas.
