Índice do Artigo
Hoje em dia, os dados pessoais são considerados o novo petróleo. Isso porque, as empresas os coletam com a finalidade de, cada vez mais, personalizar o atendimento e o desenvolvimento da organização empresarial.
Através da observação dos dados dos consumidores de uma empresa, por exemplo, é possível analisar em qual localidade é melhor para posicionar uma filial, o gênero que mais consome os seus produtos, dentre outras informações, e, com isso, segmentar ainda mais o mercado, a classe social dos seus clientes e analisar inúmeras variáveis que permitem personalizar a atuação da organização no mercado e, consequentemente, gerar maior lucratividade.
Tendo em vista a importância de tais informações, as organizações empresariais passaram a ter uma postura mais agressiva, ofertando descontos nos produtos e serviços em troca dos dados pessoais dos consumidores e algumas delas, até mesmo, venderam as referidas informações para outras empresas.
Diante desse cenário, foi criada a Lei Geral de Proteção de Dados (LGPD), a qual determina como os dados pessoais devem ser coletados, armazenados, protegidos e tratados pelas empresas e órgãos públicos.
Importante mencionar que, a lei foi criada em 2018, mas somente agora, a partir de 1º de agosto de 2021, as empresas que não observarem o plano de conformidade e adequação poderão ser penalizadas com, desde uma advertência, até multas em valores de R$ 50.000.000,00 (cinquenta milhões de reais), a depender do caso concreto.
Ante a importância da legislação vigente e sobre as sanções que as empresas podem vir a sofrer, o escritório MSPACHECO ADVOCACIA preparou este artigo abordando todos os detalhes a respeito da LGPD e como se prevenir de possíveis penalidades.
Contudo, antes de adentrarmos nas sanções e quais medidas a empresa deve tomar para se prevenir é necessário explicar alguns conceitos que a LGPD trouxe.
O QUE SÃO DADOS PESSOAIS?
A lei determina que dados pessoais são todas e quaisquer informações que identificam ou possam identificar uma pessoa. Note-se que a lei não se restringiu em tratar apenas aqueles dados capazes de identificar uma pessoa imediatamente, abrangendo um conceito mais amplo.
Esclarecendo: dados que identificam uma pessoa de forma imediata são o nome, CPF, identidade, título de eleitor etc. Ou seja, são dados que, isoladamente, podem identificar alguém. A lei, por outro lado, abrange todos os tipos de dados, mesmo aqueles que precisam ser analisados em conjunto com outras informações para levar a identificação do indivíduo.
Temos também o conceito de dados sensíveis, que são aqueles que podem acarretar discriminação em face do cliente, quais sejam: gênero, cor da pele, religião, dados biométricos e genéticos, dentre outros, e, por isso, merecem mais cuidados quando forem tratados pela empresa.
Outro ponto sensível diz respeito aos dados de crianças, em que a análise deve ser realizada com a finalidade de alcançar o melhor interesse desta e somente devem ser coletados com autorização de pelo menos de um dos pais ou responsável legal, salvo quando a coleta for realizada para contactar os responsáveis pelo infante.
QUAIS SÃO OS PRINCÍPIOS DA LGPD?
Conhecer os princípios é de suma importância, pois são eles que desenvolverão os valores de sua empresa e a cultura de proteção de dados, sem os quais é impossível se adequar à legislação em análise.
A LGPD elenca 10 princípios norteadores para a coleta de dados: finalidade, necessidade, transparência, adequação, qualidade de dados, segurança, não discriminação, prevenção, livre acesso e prestação de contas.
Adequação
Os dados coletados devem ser compatíveis com o objetivo a ser tratado;
Finalidade
No momento da coleta de determinado dado tem que ser indicado de forma clara o objetivo desta coleta;
Transparência
Visa garantir aos titulares informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;
Necessidade
Limita o tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;
Livre Acesso
Tem como objetivo assegurar aos titulares consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;
Qualidade dos Dados
Assegura aos titulares exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;
Segurança
Utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;
Prevenção
Adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;
Não Discriminação
Impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos;
Responsabilização e Prestação de contas
Demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.
A QUEM SE DESTINA AS DIRETRIZES DA LGPD E QUAIS SÃO AS SUAS OBRIGAÇÕES.
De um lado temos o titular dos dados, entendido como a pessoa natural que terá seus dados colhidos e tratados, ou seja, pessoa física sujeita de direitos.
De outro, temos a figura do controlador, que pode ser pessoa física ou jurídica, de direito privado ou público, a quem competem as decisões referentes ao tratamento de dados pessoais.
Abaixo algumas das decisões que o controlador terá que tomar:
-
Quais dados serão tratados;
-
O que será feito com o dado;
-
Como será coletado;
-
Porque aquele dado vai ser coletado;
-
Qual será a Base legal da coleta de cada dado;
-
Com quem serão compartilhados e se serão compartilhados;
-
Onde vão ser armazenados;
-
Por quanto tempo serão utilizados, etc.
Quanto as suas obrigações estas são:
-
Enquadramento das bases legais para tratamento dos dados;
-
Acompanhar o ciclo de vida dos dados, observado o descarte ao final do tratamento;
-
Indicar o encarregado de Dados;
-
Redação de relatório de impacto à proteção de dados pessoais;
-
Ônus da prova sobre o consentimento do titular;
-
Cumprir os direitos dos titulares;
-
Manter os registros das operações de tratamento de dados pessoais;
-
Publicizar a adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas;
-
Transmitir as instruções para o tratamento de dados quando resolver envolver um operador;
-
Responsabilidade Civil no caso de violação à LGPD;
-
Responsabilidade administrativa;
-
Comunicar à ANPD e ao titular sobre a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante ao titular;
-
Formular e empregar regras boas prática de governança em proteção de dados;
-
Adotar medidas de segurança, técnicas e administrativas evitando tratamento ilícito dos dados pessoais;
-
Prestar informações quando solicitado pela ANPD
Há também de se falar na figura do operador, que é a pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador. Suas obrigações são:
-
Manter os registros das operações de tratamento de dados;
-
Demonstrar a adoção de medidas eficazes para o cumprimento das normas da LGPD;
-
Empregar boas práticas de governança corporativa;
-
Responsabilidade Civil em caso de violação à LGPD;
-
Responde solidariamente pelos danos causados pelo tratamento de dados em desconformidade com as disposições legais;
-
Responde pelos danos decorrentes da violação de medidas de segurança da informação;
-
Será sancionado administrativamente em razão de infrações cometidas as normas previstas na LGPD;
-
Prestar informações para a ANPD.
Conhecido como DPO (Data Protectior Officer) ou encarregado de dados, temos a pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD) e possui as seguintes responsabilidades:
-
A apresentação de quaisquer dados que o titular ou a ANPD solicitem;
-
Todo o encargo de verificação da conformidade daquela empresa e intermediará a relação de todos os setores internos da empresa com a Lei;
-
Fiscalizar o cumprimento de metas da empresa relacionadas à criação, implementação e retroalimentação de uma cultura de proteção de dados;
-
Programa de proteção de dados da empresa, assim como pela adequação de todos os documentos;
-
Todas as outras funções não mencionadas que estejam relacionadas ao tratamento de dados de uma empresa.
QUAIS SÃO AS SANÇÕES QUE A LGPD IMPÕE?
Conforme outrora mencionado, a partir do dia 1º de agosto de 2021, as empresas que não estiverem adequadas as normas da LGPD poderão sofrer penalidades que variam de advertência a uma multa de 2% sobre o faturamento líquido do ano anterior limitado até o valor de R$ 50.000.000,00 (cinquenta milhões de reais), a depender do caso concreto.
Importante comentar que nem sempre a multa será a pior sanção a ser aplicada para a empresa, pois, dependendo do prejuízo causado, a advertência pode resultar no bloqueio de banco de dados pelo período de até seis meses, o que pode acarretar atraso em investimentos e, consequentemente, no desenvolvimento da empresa.
Destaca-se que, mesmo em tão pouco tempo de vigência da lei no Brasil, já há casos de aplicação de penalidade de multa no montante de dez mil reais, como aconteceu com a rede de farmácias DROGASIL, por exemplo, que não tratou os dados dos clientes de forma adequada.
COMO ME PREVENIR?
A LGPD determina que as empresas criem um programa de conformidade no qual se comprometem a adequar seu procedimento às normas vigentes, desde a coleta até a exclusão dos dados.
Esse programa é composto de várias etapas, como comitê de proteção de dados, conscientização, mapeamento, gap analysis, planejamento, implementação, monitoramento e outros. É um processo complexo e longo a depender do porte da empresa, mas essencial para transmitir segurança e credibilidade para os seus clientes.
Após o exposto, note-se a importância da contratação de profissionais capacitados e atualizados, para adequar a sua empresa à legislação vigente. Atento a isso, o MSPACHECO ADVOCACIA possui equipe habilitada para assessorar sua empresa.
Quer saber mais a respeito? Entre em contato conosco e agende uma consultoria com um de nossos advogados.