Sancionada em agosto de 2018 e vigente desde setembro de 2020, a Lei Geral de Proteção de Dados (LGPD), normativa que regula as atividades de tratamento de dados e informações pessoais, já deve ser conhecida por muitos gestores e empreendedores hoje. Na prática, a Lei traz grandes mudanças para as atividades econômicas brasileiras em relação à coleta, armazenamento, tratamento e compartilhamento de dados que vão muito além de e-mail, CPF, endereço e telefone, informações que geralmente fazem parte de cadastros e formulários.
Com a vigência da Lei, os negócios e consumidores devem se perguntar se a LGPD é eficiente apenas no papel, ou se na prática é possível perceber as mudanças, e se de fato essas regras estão sendo executadas por todos, conforme assinala a advogada especialista em compliance e direito empresarial e dos negócios e sócia do Kuppas & Araújo Advogados Associados de Blumenau, Camila Katrin Kuppas Costa.
“Apesar de ser uma Lei nova em território brasileiro, nos países estrangeiros funciona bem na prática, o que serve como exemplo ao cenário do Brasil. Muito embora ainda existam dúvidas sobre como será realizada a fiscalização por conta da ANPD – Autoridade Nacional de Proteção de Dados, bem como a aplicação de suas penalidades, é importante se atentar que esta adequação de novas políticas de segurança da informação, dependendo a estrutura da atividade econômica, não são do dia para noite”, diz.
Camila aponta que é necessário a realização de uma auditoria de dados, um mapeamento de vários fatores onde são avaliados os dados coletados, até onde os mesmos avançam, quais os acessos, e formas de arquivamento. “Além disso, é necessário adequar toda a parte documental do negócio, bem como se estruturar na medida que seja possível colher o consentimento do titular do dado, o qual deve ser elaborado de forma clara e transparente, informando exatamente como na prática o dado do titular será tratado no dia a dia da atividade econômica. Importante ainda criar e adotar medidas de segurança da informação, com objetivo de evitar vazamento de dados, bem como, o treinamento das equipes, administradores e colaboradores sobre essa conscientização e nova forma de tratativa dos dados no dia a dia de seu trabalho”.
Uma vez a atividade econômica demonstrando que minimamente buscou se adequar as regras da LGPD, a advogada explica que haverá argumentos fortes de que houve esta iniciativa e preocupação, perante a ANPD e titular dos dados, caso ocorra algum vazamento de dados. “Importante se atentar que cada estrutura terá a sua forma e modalidade de adequação, considerando-se o seu organograma e fluxo de negócio. A cópia de conteúdo e termos de terceiros, ou cláusulas contratuais de terceiros entre outras situações, não é indicada, uma vez que cada documento deva ser elaborado de acordo com a realidade do seu negócio e mapeamento de dados realizado para sua atividade econômica”, indica Camila.
A advogada destaca que a Lei surgiu com intuito de organizar a concessão e utilização dos dados dos titulares que estavam sendo usados de forma indevida no mercado, sendo cedidos e/ou até vendidos para terceiros sem autorização do titular. E esta consciência, é extremamente importante, de que o surgimento da Lei trouxe algo positivo para o cenário brasileiro. Lei busca “educar” o público brasileiro evitando a utilização dos dados de titulares com má fé.
“A Lei impõe mais responsabilidade na hora do recolhimento e proteção dos dados pessoais das pessoas. Para as empresas que descumprirem esta e muitas outras regras que a LGPD determina, a partir de agosto deste ano, uma multa pode ser aplicada e pode chegar até 2% do faturamento da empresa, limitadas a R$50 milhões, além de outras penalidades em caso de descumprimento e violação das regras de proteção e privacidade dos dados. Em alguns casos extremos, a empresa pode ter suas atividades suspensas, parcial ou totalmente, além de acarretar prejuízos para a imagem da organização. Tudo dependerá do impacto que irá gerar”, comenta Camila.
A advogada especialista em proteção de dados e direito digital e sócia do escritório de advocacia, Ana Gabriela Araújo Zadrozny, revela que é importante destacar que existem infrações da LGPD que não envolvem somente multas e penalidades que poderão vir a ser aplicadas pela Autoridade Nacional de Proteção de Dados (ANPD), órgão federal regulador e fiscalizador da normativa em solo brasileiro
“Alguns casos recentes de vazamento de dados trazem um alerta à população. Podemos citar como exemplo o caso da incorporadora e construtora Cyrela, empresa condenada por descumprir as normas da LGPD. A juíza estipulou uma indenização de R$ 10 mil reais para um cliente que teve seus dados compartilhados sem o seu consentimento com um parceiro da empresa”, e assim como a empresa fornecedora dos dados (de forma irregular) foi condenada, também houve condenação da empresa que recebeu e se utilizou do dado indevidamente, conta a advogada.
Camila esclarece que mesmo que a ANPD só possa aplicar as punições a partir de 1º de agosto de 2021, o Ministério Público e os próprios titulares dos dados já podem ajuizar demandas que envolvam casos de descumprimentos da LGPD. “Tanto é que pouco tempo após a entrada da Lei em vigor, o Ministério Público ajuizou ações contra atividades econômicas que ao seu entender estavam irregulares com base na normatização, ou seja, o MP tem essa prerrogativa e já pode dar início a ações contra instituições, bem como, os próprios titulares dos dados”, salienta a advogada.
Por fim, Ana Gabriela também informa que é importante ter ciência de que essas punições e obrigações da LGPD se aplicam a qualquer atividade econômica. “Por exemplo, se a pessoa é autônoma, mas exerce uma atividade econômica pelo CPF próprio, a Lei também merece atenção”, conclui.
O que fazer em caso de vazamento de dados no seu negócio?
As advogadas trazem algumas dicas do que deve ser feito se a empresa tiver registro de vazamento de dados e informações. Confira:
É necessário avaliar internamente e verificar a categoria do dado que houve o vazamento, sensível ou pessoal, quantidade de titulares que foram afetados, quantidade de dados vazados, consequências e riscos. Após essa análise, devem ser tomadas demais iniciativas se o caso, como, comunicar ao encarregado de dados;
Comunicar ao controlador de dados;
Comunicar a ANPD e ao titular de dados, em caso de risco ou dano relevante;
Elaborar a documentação do incidente de vazamento, as medidas que foram tomadas, analisar o risco, para cumprimento das obrigações.
O que fazer quando seus dados pessoais forem vazados?
Se seus dados pessoais foram compartilhados sem permissão, Camila e Ana Gabriela explicam que é possível denunciar o fornecimento irregular dessas informações, bem como ajuizar ação judicial com embasamento na LGPD. Além disso, “É possível fazer boletim de ocorrência, como também entrar com uma ação indenizatória em relação ao vazamento do dado e utilização irregular, responsabilizando o infrator por ato ilícito praticado. Além da LGPD, pode-se aplicar as demais legislações pertinentes, sendo o Código Civil e até mesmo o Código de Defesa do Consumidor, se aplicável a situação em questão”, concluem as especialistas.