No vasto universo da proteção de dados, a Lei Geral de Proteção de Dados (LGPD) emerge não apenas como um mandato legal a ser cumprido, mas como o ponto de convergência entre a ética empresarial e a construção de relações sólidas com pessoas, entre a gestão esportiva sustentável e o torcedor. Mais do que simples adequação normativa, a LGPD representa a oportunidade singular de transcender as barreiras da conformidade e se engajar em uma jornada onde a proteção dos dados se entrelaça com a valorização genuína das relações com clientes, colaboradores e parceiros. Neste contexto, o projeto de adequação à LGPD assume uma dimensão que vai muito além das linhas frias da legislação, tornando-se uma narrativa de confiança, transparência e compromisso com o respeito à privacidade.
Há vários fatores que motivam organizações, desportivas ou não, a serem mais responsáveis com os dados pessoais das pessoas. Uma delas, e talvez a mais importante, é o relacionamento com seu cliente, com o torcedor. A confiança que as pessoas depositam na organização é um ativo intangível, cujo processo de conquista é longo e o de perda pode ser muito rápido.
Uma eventual penalidade pecuniária por descumprimento da LGPD é uma sanção clara, definida, com valor finito. Ao contrário, a confiança das pessoas é ampla, ilimitada e sua perda pode ter repercussão muito mais grave.
Nesse sentido, destaca-se a penalidade de publicização da infração, prevista na LGPD, que ao agente de tratamento o dever de tornar pública a condenação que sofreu em razão da infração, “após devidamente apurada e confirmada a sua ocorrência” (inciso IV do artigo 52, LGPD).
A publicização a que se refere a Lei deverá ocorrer de forma adicional à publicização resultante do processo administrativo sancionador conduzido pela ANPD (que é público por natureza, sendo sua decisão, consequentemente, também pública).
Natural que assim seja, já que o caput do artigo 52 é claro ao definir como destinatário das sanções administrativas os agentes de tratamento de dados[1]. Dito de outra forma, é incumbência do agente de tratamento dar a publicidade à infração caso seja condenado a fazê-lo, independentemente da publicação pela ANPD em veículo de imprensa oficial. No “Relatório de Análise de Impacto Regulatório – Construção do modelo regulatório previsto na LGPD com relação à aplicação de sanções administrativas e às metodologias de cálculo do valor-base das sanções de multas[2]” a ANPD deixa claro que os custos da publicização devem ser arcados pelo infrator.
A penalidade de publicização da infração sugere implicações reputacionais. Fabricio da Mota Alves destaca que esta penalidade se assemelha àquele conhecido como shame sanction, ou “penas criminais infamantes”, próprias do Direito Penal econômico moderno, apresentada como alternativa a punibilidades mais severas[3] . A lei espanhola[4] e a lei francesa[5] de proteção de dados pessoais preveem a sanção de publicização da infração.
De fato, a sanção de publicização da infração tem o potencial de causar dano reputacional importante ao agente de tratamento. O dano reputacional é refletido na perda de receita, aumento de custo operacional, queda na confiança dos stakeholders (clientes, fornecedores e outras partes interessadas), entre outros. O mercado, de modo geral, reage.
Esta reação do mercado pode refletir-se também no distanciamento de partes que se envolvem em infrações com dados pessoais. A LGPD prevê responsabilidade solidária entre os agentes de tratamento envolvidos em incidentes. É natural que os que compõem o mercado procurem se relacionar com partes que não os deixe vulneráveis do ponto de vista de proteção de dados pessoais.
Outra possível consequência de uma sanção de publicização da infração está no fato de que esta deixará claro ao mercado que o sistema do agente de tratamento sancionado está vulnerável; se há vulnerabilidade no sistema de uma das partes, a outra parte também estará vulnerável[6].
Imagine-se, pois, o cenário no qual uma entidade desportiva é condenada pela ANPD a dar publicidade às suas infrações com dados pessoais, como previsto na LGPD. Com os elevados números do custo de um incidente de dados em mente[7] e sabendo da reputação da entidade desportiva, é provável que fornecedores, prestadores de serviço e até patrocinadores relutem ao fazer negócios com tal entidade. Se o fizerem, certamente passarão a constar previsões sobre o risco de incidentes com dados pessoais nos contratos, gerando inclusive efeitos financeiros nos termos da negociação. Todo esse cenário contribui para a perda da confiança das pessoas.
Há muitas razões pelas quais uma organização deve adequar-se à LGPD; a mais significativa delas talvez seja a manifestação do devido respeito pelas informações pessoas do titular, que demonstra que a organização é digna de confiança, mantendo uma reputação positiva no mercado.
A confiança das pessoas é, certamente, um diferencial competitivo.
Nos siga nas redes sociais: @leiemcampo
[1] Art. 52, LGPD. “Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas nesta Lei, ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional:”.
[2] https://www.gov.br/anpd/pt-br/documentos-e-publicacoes/2022-06-30___air_reg_dosimetria_.pdf
[3] ALVES, Fabrício da Mota. LGPD: Lei Geral de Proteção de Dados Comentada. Coordenadores: Viviane Nóbrega Maldonado e Renato Opice Blum. 2 ed. São Paulo: TR Revista dos Tribunais, 2019.
[4]A lei espanhola de proteção de dados estabelece que serão publicadas as infrações cuja multa seja superior a € 1.000.000, nos seguintes termos do art. 76, em tradução livre: 4. Será objeto de publicação no Diário Oficial do Estado a informação que identifica o infrator, a infração cometida e o montante da sanção aplicada quando a autoridade competente for a Agência Espanhola de Proteção de Dados, a sanção exceder um milhão de euros, e o infrator for uma pessoa jurídica. Disponível em: https://www.boe.es/buscar/act.php?id=BOE-A-2018-16673.
[5] A autoridade francesa também pode determinar a publicação de sua decisão, o que poderá acontecer imediatamente à notificação, em publicações, jornais ou mídias de sua escolha, às custas do autuado. Neste caso, o autuado poderá recorrer da decisão.
[6] Um exemplo que ilustra esta questão da vulnerabilidade dos sistemas é o incidente ocorrido com a Target, importante rede de lojas de departamento dos Estados Unidos, no final do ano de 2013. A Target tinha, à época, por volta de 1.800 lojas espalhadas pelos Estados Unidos; estas lojas tiveram seus terminais de checkout (os caixas onde os clientes pagam suas compras) invadidos, infectados por um malware. Ocorre que a porta de entrada desse malware não foi a Target, mas um prestador de serviços da Target, que fazia manutenção do ar-condicionado do sistema de aquecimento das lojas. A vulnerabilidade, portanto, não estava no sistema da Target, mas no do parceiro. 70 milhões de números de cartões de crédito e débito foram furtados em pouco mais de 15 dias. As ações da Target caíram 11% nos 90 dias que sucederam o ataque. O ataque ocorreu em dezembro de 2013; o CEO da Target renunciou em março 2014. Só a emissão de novos cartões custou mais de 200 milhões de dólares. Disponível em https://www.forbes.com/sites/maggiemcgrath/2014/01/10/target-data-breach-spilled-info-on-as-many-as-70-million-customers/?sh=5aab9291e795
[7] IBM Security. Relatório do Custo de Uma Violação de Dados. IBM Corporation 2022. São Paulo. Disponível em: <https://www.ibm.com/br-pt/security/data-breach>.
