This post is also available in: Português
No ano passado foi editado um regramento inédito no Brasil para regulamentação dos dados pessoais, a Lei nº 13.709/2018, denominada Lei Geral de Proteção de Dados Pessoais – LGPD. A criação da referida lei acompanhou uma tendência internacional, especialmente após a entrada em vigor da lei europeia (GDPR) em maio de 2018.
A norma que, salvo uma nova medida do governo em sentido contrário, entrará em vigor em agosto de 2020, prevê os fundamentos e princípios relacionados à proteção de dados pessoais, além de estabelecer os direitos dos titulares e as obrigações das pessoas físicas e jurídicas que realizam o tratamento dos dados pessoais.
O objetivo deste blog post é apresentar detalhes acerca dos possíveis prejuízos gerados pelo descumprimento das orientações previstas em Lei. Continue a leitura deste conteúdo e adquira novos conhecimentos sobre a LGPD.
Quais são as obrigações das empresas que processam dados pessoais?
A preocupação com a segurança da informação não é novidade no país, embora cada vez mais estejamos tomando conhecimento acerca de incidentes relacionados à vulnerabilidade das empresas, que têm sofrido ataques e vazamento de dados que podem resultar em prejuízos exorbitantes para as companhias, seus parceiros, colaboradores e clientes.
A LGPD instituiu uma série de encargos às pessoas físicas e jurídicas que fazem o processamento de dados pessoais com finalidade econômica, como é o caso dos consultórios médicos, escritórios, corretores imobiliários, contadores, e toda uma gama de empresas e negócios que coletam, manipulam e/ou fornecem informações pessoais.
O primeiro ponto a ser avaliado é que o tratamento de informações pessoais somente pode ser realizado se fundamentado em pelo menos uma das 10 hipóteses previstas na lei, como, por exemplo, para a proteção do crédito, o cumprimento de uma obrigação legal, o exercício regular de um direito em processo judicial, administrativo ou arbitral, a realização de estudos por órgãos de pesquisa, quando houver interesse legítimo ou, ainda, quando houver consentimento do titular do dado.
Uma vez encontrada a base legal que autorize a captura, tratamento e armazenamento dos dados, a empresa deverá cumprir determinados requisitos como a finalidade do tratamento, a forma e duração, identificação do controlador e seus contatos, responsabilidade dos agentes que realizarão o tratamento, etc.
Além disso, deverão adequar suas operações para garantir o exercício dos direitos pelos titulares, que mediante requisição poderão solicitar a correção, anonimização, eliminação, portabilidade das informações, etc.
O que o seu negócio pode perder se não se adequar à LGPD?
Não é demais lembrar que uma vez capturado o dado, a empresa passa a ser responsável pela guarda do mesmo, podendo ser responsabilizada por qualquer incidente a ele relacionado.
Desta forma, o descumprimento das obrigações previstas na LGPD poderá ensejar a responsabilização da pessoa física ou jurídica que processou a informação em razão de questionamentos e demandas movidas diretamente pelos titulares dos dados, tanto na área cível quanto criminal.
Além disso, a empresa ainda deve se submeter à fiscalização da Agência Nacional de Proteção de Dados (ANPD), entidade criada para controlar a atividade do tratamento dos dados no país, podendo exigir a apresentação periódica de relatórios e informações, além da aplicação de sanções.
As penalidades aplicadas pela ANPD vão desde a imposição de sanções administrativas, como a execução de medidas corretivas, publicização da infração, bloqueio e eliminação dos dados (medidas que sabidamente podem colocar em risco a operação e a reputação da empresa), até o arbitramento de multas que podem chegar ao montante de R$ 50.000.000,00 (quinhentos milhões de reais) por infração.
Isso tudo sem falar que, como em qualquer outra atividade, as pessoas físicas e jurídicas que realizam o processamento de dados estão sujeitas à fiscalização e eventual responsabilização pelo Ministério Público (Estadual e Federal) e Procon, que podem, inclusive, manejar ações judiciais para apuração de danos coletivos, cujas indenizações podem atingir patamares altíssimos, já que destinadas a indenizar toda a comunidade.
Como visto, a edição da Lei Geral de Proteção de Dados Pessoais exige que as empresas e profissionais cujas atividades incluem a captura, tratamento, compartilhamento ou fornecimento de dados adequem suas operações de modo a garantir a sobrevivência e competitividade de seus negócios. Para tanto, é imprescindível contar com uma equipe multidisciplinar especializada na área jurídica e de segurança da informação para a instituição de políticas de governança, implementação de normas de segurança, readequação de alguns processos, revisão dos instrumentos contratuais da empresa, realização de treinamentos, tudo no intuito de evitar a aplicação das pesadas penalidades previstas na lei.
A caminho para a conformidade com a LGPD tem complexidade nível de complexidade variado, de acordo com a realidade de cada negócio. Dar os primeiros passos rumo a conformidade é imprescindível para todas as organizações, assim como a busca por auxílio de empresas especializadas para tornar este processo menos custoso.
Uma das maneiras mais adequadas para iniciar o processo de conformidade com a Lei é a identificação do nível atual de conformidade do negócio. O mesmo pode ser obtido através da ferramenta Diagnóstico LGPD, disponibilizada gratuitamente pela empresa OSTEC.
This post is also available in: Português