A Lei Geral de Proteção de Dados – a “LGPD” – regula o tratamento de dados pessoais. Esta coluna já abordou a lei em duas ocasiões, relacionando suas previsões ao mundo do esporte, em especial ao futebol: veja aqui e aqui. Assim como outras normas de proteção de dados pessoais emitidas ao longo da história, a LGPD tem uma dupla função: 1) a garantia da privacidade e outros direitos fundamentais, e; 2) o fomento do desenvolvimento econômico.
Uma das medidas destinadas ao cumprimento dos objetivos da lei é a aplicação de sanções administrativas. Estas sanções serão aplicadas a partir de agosto deste ano e deverão seguir parâmetros e critérios estabelecidos pela própria LGPD, tais como a gravidade e a natureza das infrações e dos direitos pessoais afetados, a condição econômica do infrator e a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano.
Talvez a mais “famosa” das sanções administrativas constantes da LGPD seja a multa, já que o valor pode ser expressivo: a multa é de até 2% do faturamento do infrator no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 por infração. Ressalta-se que “infração” não se limita a um vazamento de dados pessoais, por exemplo; trata-se de qualquer ação em desconformidade com a LGPD.
Ocorre que, para além da multa, há a previsão de outras sanções que merecem a nossa atenção pelo potencial danoso que podem causar ao infrator.
Dentre elas, destaco nesta coluna o dano reputacional.
O artigo 52 da LGPD, que dispõe sobre as sanções administrativas, prevê a publicização da infração após devidamente apurada e confirmada a sua ocorrência. A forma como a publicidade deverá ocorrer ainda precisa ser devidamente disciplinada pela Autoridade Nacional de Proteção de Dados – a “ANPD”. Mas ainda que a publicidade da infração possa ser considerada como parte de um fluxo natural de um processo administrativo – já que se espera que a ANPD publique suas decisões – a publicidade da infração dada pelo próprio infrator, em seus meios de comunicação com o titular, certamente terá impacto maior.
O dano reputacional é refletido em perda de receita, aumento de custo operacional, queda na confiança dos stakeholders (clientes, fornecedores e outras partes interessadas), entre outros. O mercado, de modo geral, reage. Evita-se realizar negócios com partes que se envolvem em infrações com dados pessoais.
Ora, se é sabido que a parte se envolve com frequência em incidentes com dados pessoais, há, certamente, riscos no estabelecimento de qualquer tipo de relacionamento, especialmente se considerarmos que: 1) a LGPD prevê responsabilidade para todas as partes envolvidas em um incidente de dados, e 2) se há vulnerabilidade no sistema de uma das partes, a outra parte também está vulnerável.
Sobre o segundo ponto, recordarmos de um relevante incidente com dados pessoais ocorrido com a Target, uma importante loja de departamentos nos Estados Unidos, ocorrido no final de 2013. A Target tinha, à época, por volta de 1.800 lojas espalhadas pelos Estados Unidos; estas lojas tiveram seus terminais de checkout (os caixas onde os clientes pagam suas compras) invadidos, infectados por um malware. Ocorre que a porta de entrada desse malware não foi a Target, mas um prestador de serviços da Target, que fazia manutenção do ar condicionado do sistema de aquecimento das lojas.
A vulnerabilidade, portanto, não estava no sistema da Target, mas no do parceiro.
70 milhões de números de cartões de crédito e débito foram furtados em pouco mais de 15 dias. As ações da Target caíram 11% nos 90 dias que sucederam o ataque. O ataque ocorreu em dezembro de 2013; o CEO da Target renunciou em março 2014. Só a emissão de novos cartões custou mais de 200 milhões de dólares[1].
A IBM vem realizando estudos ao longo dos anos sobre os custos de um incidente de dados[2]. Em 2020 coletou-se dados por meio de entrevistas com pessoas de 524 organizações em 17 países diferentes e em 17 tipos de indústrias (como a indústria da saúde, da educação, do transporte, da comunicação, do entretenimento, entre outras).
Este relatório dá conta de que o custo médio de uma violação de dados pessoais é de 3.86 milhões de dólares, incluindo os custos de negócios perdidos, de detectar o incidente, de notificá-lo e de responder a ele. Especificamente na indústria do entretenimento – que inclui o esporte – o custo médio é um pouco maior: 4.08 milhões de dólares.
Imaginemos, pois, o cenário no qual um clube é condenado pela ANPD a dar publicidade às suas infrações com dados pessoais, como previsto na LGPD. Com os números do custo de um incidente de dados em mente e sabendo da reputação do clube, é provável que fornecedores, prestadores de serviço e até patrocinadores relutem ao fazer negócios com este clube. Se o fizerem, certamente passarão a constar previsões sobre o risco de incidentes com dados pessoais nos contratos, gerando inclusive efeitos financeiros nos termos da negociação.
A LPDG pode ser uma oportunidade para otimizar processos e gerar renda com o uso regular de dados pessoais. Mas seu descumprimento pode significar perdas significativas. O dano reputacional para clubes pode custar muito mais caro do que a aplicação de uma multa e seus efeitos poderão ser sentidos durante muito mais tempo. Clubes precisam se atentar a estas implicações e se adequar à LGPD.
………..
[1] https://www.forbes.com/sites/maggiemcgrath/2014/01/10/target-data-breach-spilled-info-on-as-many-as-70-million-customers/?sh=31e558a4e795
[2] https://www.ibm.com/security/digital-assets/cost-data-breach-report/#/pt