Blog

Hoje em dia, os dados pessoais são considerados o novo petróleo. Isso porque, as empresas os coletam com a finalidade de, cada vez mais, personalizar o atendimento e o desenvolvimento da organização empresarial.

Através da observação dos dados dos consumidores de uma empresa, por exemplo, é possível analisar em qual localidade é melhor para posicionar uma filial, o gênero que mais consome os seus produtos, dentre outras informações, e, com isso, segmentar ainda mais o mercado, a classe social dos seus clientes e analisar inúmeras variáveis que permitem personalizar a atuação da organização no mercado e, consequentemente, gerar maior lucratividade.

Tendo em vista a importância de tais informações, as organizações empresariais passaram a ter uma postura mais agressiva, ofertando descontos nos produtos e serviços em troca dos dados pessoais dos consumidores e algumas delas, até mesmo, venderam as referidas informações para outras empresas.

Diante desse cenário, foi criada a Lei Geral de Proteção de Dados (LGPD), a qual determina como os dados pessoais devem ser coletados, armazenados, protegidos e tratados pelas empresas e órgãos públicos.

Importante mencionar que, a lei foi criada em 2018, mas somente agora, a partir de 1º de agosto de 2021, as empresas que não observarem o plano de conformidade e adequação poderão ser penalizadas com, desde uma advertência, até multas em valores de R$ 50.000.000,00 (cinquenta milhões de reais), a depender do caso concreto.

Ante a importância da legislação vigente e sobre as sanções que as empresas podem vir a sofrer, o escritório MSPACHECO ADVOCACIA preparou este artigo abordando todos os detalhes a respeito da LGPD e como se prevenir de possíveis penalidades.

Contudo, antes de adentrarmos nas sanções e quais medidas a empresa deve tomar para se prevenir é necessário explicar alguns conceitos que a LGPD trouxe.

O QUE SÃO DADOS PESSOAIS?

A lei determina que dados pessoais são todas e quaisquer informações que identificam ou possam identificar uma pessoa. Note-se que a lei não se restringiu em tratar apenas aqueles dados capazes de identificar uma pessoa imediatamente, abrangendo um conceito mais amplo.

Esclarecendo: dados que identificam uma pessoa de forma imediata são o nome, CPF, identidade, título de eleitor etc. Ou seja, são dados que, isoladamente, podem identificar alguém. A lei, por outro lado, abrange todos os tipos de dados, mesmo aqueles que precisam ser analisados em conjunto com outras informações para levar a identificação do indivíduo.

Temos também o conceito de dados sensíveis, que são aqueles que podem acarretar discriminação em face do cliente, quais sejam: gênero, cor da pele, religião, dados biométricos e genéticos, dentre outros, e, por isso, merecem mais cuidados quando forem tratados pela empresa.

Outro ponto sensível diz respeito aos dados de crianças, em que a análise deve ser realizada com a finalidade de alcançar o melhor interesse desta e somente devem ser coletados com autorização de pelo menos de um dos pais ou responsável legal, salvo quando a coleta for realizada para contactar os responsáveis pelo infante.

QUAIS SÃO OS PRINCÍPIOS DA LGPD?

Conhecer os princípios é de suma importância, pois são eles que desenvolverão os valores de sua empresa e a cultura de proteção de dados, sem os quais é impossível se adequar à legislação em análise.

A LGPD elenca 10 princípios norteadores para a coleta de dados: finalidade, necessidade, transparência, adequação, qualidade de dados, segurança, não discriminação, prevenção, livre acesso e prestação de contas.

Adequação

Os dados coletados devem ser compatíveis com o objetivo a ser tratado;

Finalidade

No momento da coleta de determinado dado tem que ser indicado de forma clara o objetivo desta coleta;

Transparência

Visa garantir aos titulares informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;

Necessidade

Limita o tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;

Livre Acesso

Tem como objetivo assegurar aos titulares consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;

Qualidade dos Dados

Assegura aos titulares exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;

Segurança

Utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;

Prevenção

Adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;

Não Discriminação

Impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos;

Responsabilização e Prestação de contas

Demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.

 

A QUEM SE DESTINA AS DIRETRIZES DA LGPD E QUAIS SÃO AS SUAS OBRIGAÇÕES.

De um lado temos o titular dos dados, entendido como a pessoa natural que terá seus dados colhidos e tratados, ou seja, pessoa física sujeita de direitos.

De outro, temos a figura do controlador, que pode ser pessoa física ou jurídica, de direito privado ou público, a quem competem as decisões referentes ao tratamento de dados pessoais.

Abaixo algumas das decisões que o controlador terá que tomar:

• Quais dados serão tratados;

• O que será feito com o dado;

• Como será coletado;

• Porque aquele dado vai ser coletado;

• Qual será a Base legal da coleta de cada dado;

• Com quem serão compartilhados e se serão compartilhados;

• Onde vão ser armazenados;

• Por quanto tempo serão utilizados, etc.

Quanto as suas obrigações estas são:

• Enquadramento das bases legais para tratamento dos dados;

• Acompanhar o ciclo de vida dos dados, observado o descarte ao final do tratamento;

• Indicar o encarregado de Dados;

• Redação de relatório de impacto à proteção de dados pessoais;

• Ônus da prova sobre o consentimento do titular;

• Cumprir os direitos dos titulares;

• Manter os registros das operações de tratamento de dados pessoais;

• Publicizar a adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas;

• Transmitir as instruções para o tratamento de dados quando resolver envolver um operador;

• Responsabilidade Civil no caso de violação à LGPD;

• Responsabilidade administrativa;

• Comunicar à ANPD e ao titular sobre a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante ao titular;

• Formular e empregar regras boas prática de governança em proteção de dados;

• Adotar medidas de segurança, técnicas e administrativas evitando tratamento ilícito dos dados pessoais;

• Prestar informações quando solicitado pela ANPD

Há também de se falar na figura do operador, que é a pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador. Suas obrigações são:

• Manter os registros das operações de tratamento de dados;

• Demonstrar a adoção de medidas eficazes para o cumprimento das normas da LGPD;

• Empregar boas práticas de governança corporativa;

• Responsabilidade Civil em caso de violação à LGPD;

• Responde solidariamente pelos danos causados pelo tratamento de dados em desconformidade com as disposições legais;

• Responde pelos danos decorrentes da violação de medidas de segurança da informação;

• Será sancionado administrativamente em razão de infrações cometidas as normas previstas na LGPD;

• Prestar informações para a ANPD.

Conhecido como DPO (Data Protectior Officer) ou encarregado de dados, temos a pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD) e possui as seguintes responsabilidades:

• A apresentação de quaisquer dados que o titular ou a ANPD solicitem;

• Todo o encargo de verificação da conformidade daquela empresa e intermediará a relação de todos os setores internos da empresa com a Lei;

• Fiscalizar o cumprimento de metas da empresa relacionadas à criação, implementação e retroalimentação de uma cultura de proteção de dados;

• Programa de proteção de dados da empresa, assim como pela adequação de todos os documentos;

• Todas as outras funções não mencionadas que estejam relacionadas ao tratamento de dados de uma empresa.

QUAIS SÃO AS SANÇÕES QUE A LGPD IMPÕE?

Conforme outrora mencionado, a partir do dia 1º de agosto de 2021, as empresas que não estiverem adequadas as normas da LGPD poderão sofrer penalidades que variam de advertência a uma multa de 2% sobre o faturamento líquido do ano anterior limitado até o valor de R$ 50.000.000,00 (cinquenta milhões de reais), a depender do caso concreto.

Importante comentar que nem sempre a multa será a pior sanção a ser aplicada para a empresa, pois, dependendo do prejuízo causado, a advertência pode resultar no bloqueio de banco de dados pelo período de até seis meses, o que pode acarretar atraso em investimentos e, consequentemente, no desenvolvimento da empresa.

Destaca-se que, mesmo em tão pouco tempo de vigência da lei no Brasil, já há casos de aplicação de penalidade de multa no montante de dez mil reais, como aconteceu com a rede de farmácias DROGASIL, por exemplo, que não tratou os dados dos clientes de forma adequada.

COMO ME PREVENIR?

A LGPD determina que as empresas criem um programa de conformidade no qual se comprometem a adequar seu procedimento às normas vigentes, desde a coleta até a exclusão dos dados.

Esse programa é composto de várias etapas, como comitê de proteção de dados, conscientização, mapeamento, gap analysis, planejamento, implementação, monitoramento e outros. É um processo complexo e longo a depender do porte da empresa, mas essencial para transmitir segurança e credibilidade para os seus clientes.

Após o exposto, note-se a importância da contratação de profissionais capacitados e atualizados, para adequar a sua empresa à legislação vigente. Atento a isso, o MSPACHECO ADVOCACIA possui equipe habilitada para assessorar sua empresa.

Quer saber mais a respeito? Entre em contato conosco e agende uma consultoria com um de nossos advogados.