Entre o fim de novembro e os primeiros dias de dezembro, dois casos de vazamento de dados ganharam as manchetes no Brasil. O primeiro envolve a Embraer. Uma das principais fabricantes de aeronaves do planeta, a companhia brasileira foi vítima de um ataque virtual que fez com que documentos confidenciais de seus negócios, bem como informações pessoais de funcionários, fossem divulgados na internet.

Bitcoin é coisa de nerd? Está na hora de abrir a cabeça. Conheça a EXAME Research

O segundo incidente foi ainda mais preocupante. Os dados de mais de 200 milhões de brasileiros foram expostos em uma falha de segurança do Ministério da Saúde. Dessa vez não houve nenhum ataque hacker. Foi um descuido que permitiu que informações como nomes, CPFs, endereços e números de telefone se tornassem públicos na internet. Se a Lei Geral de Proteção de Dados (LGPD) já estivesse vigorando de forma completa, tanto a empresa quanto o governo brasileiro poderiam ser responsabilizados judicialmente e correriam o risco de pagar multas milionárias. Em 2021, isso poderá acontecer.

Aprovada em 2018 ainda no governo do presidente Michel Temer, a LGPD foi criada para servir como um guia de regras do que pode ou não ser feito no armazenamento e no uso de dados pessoais por empresas e instituições. A Lei no 13.709/2018 se tornou a primeira legislação específica para esse propósito e prevê multas que podem chegar a 50 milhões de reais para quem não cumprir as normas.

Por causa da crise do novo coronavírus, a aplicação da lei foi adiada e ela entrou em vigor somente em setembro deste ano, mas as sanções só serão empregadas a partir de agosto de 2021. “As empresas não estavam enxergando a LGPD como algo essencial”, diz Gisele Truzzi, advogada especialista em direito digital e sócia do escritório Truz­zi Advogados. “O adiamento favorece as empresas e o Estado, que também tem de se adequar à lei. Mas é prejudicial para o consumidor.”

Em uma pesquisa realizada pela consultoria ICTS Protiviti até setembro deste ano com 296 companhias brasileiras, apenas 24% delas informaram que já estavam operando dentro da nova lei. É pouco, mas o percentual de março era de apenas 16%. Os obstáculos são diversos. “Alguns pontos precisam ser aprimorados”, diz Patrícia Peck, advogada especializada em direito digital e sócia do escritório PG Advogados.

Um dos artigos, por exemplo, deixa dúvidas sobre a necessidade de empresas de pequeno porte contarem com um profissional encarregado da proteção de dados. Outro artigo deixa em aberto o paradoxo de uma empresa informar que foi vítima de vazamento de dados, criando provas contra si.

Em outubro, o Senado aprovou a indicação dos nomes que vão compor a diretoria da Autoridade Nacional de Proteção de Dados, a agência que vai fiscalizar o cumprimento das regras. Esses nomes, que foram indicados pelo presidente Jair Bolsonaro, também deverão dar um parecer sobre pontos difusos da lei. “A autoridade precisa ter credibilidade para ganhar a confiança do cidadão”, diz Peck.

Por ora, algumas batalhas nos tribunais estão caminhando com base nas regras estabelecidas pela LGPD. Em setembro, uma semana depois de a lei entrar em vigor, o Ministério Público do Distrito Federal e Territórios (MPDFT) entrou com um processo contra a empresa Infortexto, com sede em Minas Gerais, acusando-a de comercializar dados privados de milhares de brasileiros pela internet.

O processo indica que a companhia ganha dinheiro com uma loja online em que vende listas de endereços de e-mail, endereços físicos e números de telefone. Somente na cidade de São Paulo, o MPDFT aponta que mais de 500.000 pessoas podem ter sido expostas. A construtora Cyrela também teve problemas com o uso indevido de dados.

Em um processo da 13ª Vara Cível do Foro Central de São Paulo, a construtora foi acusada de repassar dados de um de seus clientes para terceiros, o que é proibido pela LGPD. Se as multas já estivessem em vigor, ambas as empresas poderiam enfrentar outras punições, além das cabíveis em processos judiciais movidos pelas vítimas. Isso vai acontecer em breve, para o bem do consumidor.