x

Olá! Como podemos ajudá-lo(a)?

Olá, como posso ajudá-lo(a)?
Lei Geral de Proteção de Dados – LGPD
top of page
Buscar

Lei Geral de Proteção de Dados – LGPD

  • Luis André Maragno Vivan
  • 19 de abr. de 2021
  • 5 min de leitura

ree

PERGUNTAS E RESPOSTAS


1. A LGPD afeta quais tipos de empresas?


Ao contrário do que muitos imaginam, a LGPD não se aplica somente para grandes empresas de tecnologia, mas deve ser cumprida por toda e qualquer pessoa física ou jurídica cuja atividade inclua o tratamento de dados de pessoas físicas, desde que, conforme estabelece o seu artigo 3º:

“:

“(...) I – a operação de tratamento seja realizada no território nacional;

II – a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional; ou

III – os dados pessoais objeto do tratamento tenham sido coletados no território nacional.”


Há de se esclarecer os conceitos de “tratamento” e “dados pessoais” são bastante amplos. A título de exemplo, um pequeno estabelecimento comercial que guarda em um caderno uma lista com informações de clientes devedores está tratando dados pessoais, à luz das definições trazidas pela LGPD.


2. O que é necessário para que uma empresa se adeque à LGPD?


Antes de mais nada, será necessário mapeamento e identificação de todas as categorias de dados de pessoas físicas tratados pela empresa. Após esse levantamento, deverá haver uma avaliação sobre as justificativas de utilização de tais dados previstas na LGPD (ex.: qual a finalidade e como os dados foram coletados, se houve consentimento por parte do titular de dados, dentre outras). Com isso, será possível saber quais dados deverão ser descartados e quais poderão ser tratados.


Como a lei exige que qualquer tratamento deve seguir normas mínimas proteção, a empresa deve necessariamente contratar uma assessoria de segurança da informação, a fim de adotar medidas básicas que a resguarde de perda, roubo, vazamento, destruição acidental e outros incidentes envolvendo dados pessoais. Exemplos clássicos de proteção consistem na implementação de criptografia de ponta a ponta e criação de política interna de controle de acesso a dados pessoais e outras informações sensíveis.


Em atenção ao princípio da transparência, expressamente previsto na LGPD, a empresa que trata dados pessoais deve prestar expressos e didáticos esclarecimentos a todos os titulares desses dados acerca da justificativa legal da finalidade de tratamento de tais dados.


Esses esclarecimentos podem constar tanto em políticas internas (aplicáveis principalmente a empregados que são obrigados a fornecer dados pessoais à empresa) quanto a políticas de privacidade aplicáveis a clientes, usuários do website da empresa e/ou outros terceiros. Portanto, um passo fundamental para a adequação consiste na formulação das referidas políticas, normalmente preparadas por advogados.


Paralelamente, aconselha-se que todos os contratos da empresa sejam revistos a fim de se assegurar que não estejam em conflito com as exigências da LGPD.


Em alguns casos, a empresa também deve providenciar um “termo de consentimento” a fim de que o titular dos dados tratados pela empresa textual e expressamente declare ter concordado com o uso dos seus dados pela empresa.


Outra medida importante consiste na escolha de um “Encarregado de Proteção de Dados” (“Data Protection Officer – DPO”), que é o profissional responsável por atuar como canal de comunicação entre a empresa, os titulares dos dados tratados e a Agência Nacional de Proteção de Dados – ANPD. Esse profissional normalmente é responsável por acompanhar todas as etapas do processo de adequação do ponto de vista tecnológico/jurídico e deve ter seu nome publicamente divulgado pela empresa (preferencialmente no website desta), conforme textualmente exige a LGPD.


Por último, é preciso atentar para as fundamentais medidas de conscientização e treinamento dos colaboradores da empresa, que deverão seguir as diretrizes operacionais e os cuidados exigidos pela LGPD no dia a dia das suas atividades profissionais, evitando coleta, divulgação, armazenamento, utilização e/ou qualquer outra modalidade de tratamento de dados pessoais de forma indevida, seja de empregados, clientes e/ou terceiros.


3 – Quais as consequências do descumprimento da LGPD?

O não cumprimento das exigências da LGPD enseja sanções a serem aplicadas pela Agência Nacional de Proteção de Dados (ANPD), na forma de advertências, multas, suspensão total do funcionamento do banco de dados da empresa, dentre outras. As multas poderão ser do tipo simples (de até 2% do faturamento da empresa, com um limite de R$ 50 milhões por infração) ou ainda multas diárias, recorrentes até que a situação seja corrigida. O tipo de sanção variará de acordo com parâmetros e critérios tais como gravidade e reincidência da violação, boa-fé e demonstração de que a empresa envidou seus melhores esforços para implantar mecanismos e procedimentos de segurança/compliance.


O artigo 52 da LGPD lista em ordem crescente de gravidade as sanções em caso de violação das suas disposições, sendo elas:

“(...)

I - advertência

II - multa simples

III - multa diária

IV - publicização da infração

V - bloqueio dos dados pessoais a que se refere a infração até a sua regularização

VI - eliminação dos dados pessoais a que se refere a infração

VII - suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 meses, prorrogável por igual período até a regularização da atividade

VIII - suspensão da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 meses, também prorrogável por igual período

IX - proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.”


A aplicação das sanções acima previstas não impede que a empresa seja diretamente processada por titulares de dados pessoais e obrigada a pagar indenizações a tais titulares.


Ademais, é possível que órgãos de proteção do consumidor ou outros órgãos públicos apliquem outras sanções/penalidades, tendo em vista que a LGPD não é a única legislação de proteção de dados pessoais no País, havendo também disposições aplicáveis no Código de Defesa do Consumidor (Lei 8.078/90), Marco Civil da Internet (Lei 12.965/14), Código Civil Brasileiro e Constituição Federal, tais como normas de proteção à honra, intimidade, privacidade e imagem.


A título de exemplo, mesmo sem qualquer medida por parte da ANPD, uma grande construtora foi processada na Justiça Comum e condenada a indenizar um cliente que teve seus dados fornecidos sem consentimento a instituições financeiras, consórcios, empresas de arquitetura/construção e fornecimento de móveis, logo depois de ter adquirido um imóvel da referida construtora. Nesse caso, a sentença estabeleceu indenização por danos morais no valor de R$10.000,00 (dez mil reais), bem como multa de R$ 3.000,00 por cada tentativa de contato indevida recebida pelo titular dos dados vazados.


Ademais, a pedido do Ministério Público do Distrito Federal e Territórios (MPDFT), o Tribunal de Justiça do Distrito Federal determinou a suspensão da venda de dados pessoais por empresa de serviços de informação e proteção ao crédito, após uma investigação constatar que tal empresa supostamente vendia para terceiros dados pessoais de perfis cadastrados, incluindo nome, endereço, CPF, número telefônico, localização, perfil financeiro, poder aquisitivo e classe social, para fins de publicidade e captação de novos clientes. Nesse caso, foi aplicada multa de R$ 5.000,00 (cinco mil reais) para cada venda de dados efetuada em desacordo com a referida decisão.

bottom of page