Publicada em 15 de agosto de 2018, a Lei Geral de Proteção de Dados Pessoais nº 13.079 (“LGPD”) entrou em vigor em agosto de 2020. Inspirada na pioneira legislação europeia denominada “General Data Protection Regulation”, a LGPD estabelece diretrizes acerca da privacidade e segurança no tratamento de dados da pessoa física, denominada pela lei de “titular de dados pessoais”.
Desde o início de sua vigência, as empresas, na qualidade de agentes de tratamento de dados, estão obrigadas a entrar em conformidade com as regras previstas na LGPD, podendo responder civilmente pelos danos causados aos titulares dos dados pessoais em decorrência da não observância da nova lei.
A partir de 1º de agosto de 2021, controladores e operadores de dados pessoais que deixarem de observar as regras da LGPD ficarão sujeitos, ainda, à fiscalização e aplicação de sanções administrativas por parte da Autoridade Nacional de Proteção de Dados (“ANPD”), que já vem atuando em face de denúncias relacionadas a violações da LGPD.
Sanções previstas na LGPD
Em caso de violações às regras da norma, a ANPD, além da fiscalizar o cumprimento das regras para tratamento de dados pessoais, também poderá, como dito acima, aplicar sanções aos agentes de tratamento de dados.
As sanções poderão variar entre advertências, multas pecuniárias – que podem chegar até a 2% do faturamento anual das empresas – ou até mesmo a suspensão e a proibição do tratamento de dados pelos infratores. Ainda, são previstas outras sanções aos infratores da LGPD, tais como, a obrigatoriedade da publicação da infração, o bloqueio dos dados pessoais a que se refere a infração até a sua regularização, a eliminação dos dados pessoais, a suspensão temporária e parcial do funcionamento do banco de dados, a suspensão do exercício da atividade de tratamento dos dados por tempo determinado e a proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
Além do mais, qualquer pessoa natural titular de dados pessoais pode exigir que terceiros e empresas que utilizem seus dados prestem informações acerca do uso, destinação e finalidade de todos os dados que constam em poder da empresa, bem como solicitar que se interrompa o uso dos seus dados.
Nessa esteira, o Poder Judiciário também garantirá o cumprimento da LGPD no julgamento de ações indenizatórias promovidas pelos titulares de dados pessoais (clientes, empregados, colaboradores e terceiros), em função do vazamento ou má utilização de dados pessoais promovidas por clientes, levando os agentes de tratamento a responder pelos danos eventualmente suportados diante do não cumprimento do dever legal.
É imprescindível que as empresas e pessoas físicas que sejam agentes de controle, operação e tratamento de dados pessoais estejam atentas às regras e prazos da LGPD e adequem sua cultura organizacional para o tratamento correto de dados.
É preciso garantir que dados pessoais sejam tratados na extensão autorizada pela LGPD, de acordo com a finalidade acordada com o titular dos dados, garantindo sua adequada guarda e segurança.
A definição de manuais de governança e privacidade de dados para conscientização e atendimento às diretrizes e regras previstas na LGPD por seus empregados, parceiros comerciais e clientes, destacam-se como medidas iniciais primordiais a serem adotadas pelas empresas e suas organizações.
Outra medida de relevância para afastar os riscos provenientes de infrações à nova lei é a revisão e adequação dos cadastros, formulários e contratos, especialmente para estabelecer as declarações de ciência e consentimento para o uso e tratamento de informações compartilhadas, sem prejuízo de outras estruturações de obrigações e responsabilidades. Os dados de clientes a serem compartilhados com os parceiros comerciais devem ser informados de maneira clara, indicando a finalidade que serão utilizados e permitindo que, a qualquer momento, seja suspensa ou interrompida a utilização destes dados por seus clientes titulares.
As medidas técnicas de segurança da informação, aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito, também são considerados pontos cruciais.
Quanto maior a cadeia de clientes, fornecedores, subcontratados, empregados e parceiros comerciais envolvidos na atividade das empresas, maior o volume de dados tratados e compartilhados. Consequentemente, o plano estratégico de atuação deve conciliar a realidade operacional de cada empresa.
A necessidade de empresas adequarem suas operações e políticas de proteção de dados é premente. O quanto antes controladores e operadores de dados pessoais organizarem seu plano de ação, menores os riscos de condenações e sanções administrativas.
Por: Heber Fechine, Márcio Valfredo Bessa e Grazziano M. Figueiredo Ceará, respectivamente associado e sócios do escritório Valfredo Bessa e Grazziano Advogados.
voltar
COMPARTILHAR:
