Notícias

LGPD: advertências e multas começam a ser aplicadas a partir do próximo domingo

Sanções incluem advertências e multas de até 2% do faturamento, além da possibilidade de bloqueio dos dados

26 de julho de 2021

Chegou o momento mais temido para muitas empresas brasileiras que trabalham com dados. A partir de agosto começam a valer as sanções previstas na Lei Geral de Proteção de Dados, a LGPD. A partir do próximo domingo (1º) a Autoridade Nacional de Proteção de Dados (ANPD), entidade responsável pela fiscalização dos dispositivos da nova lei, já poderá aplicar punições a todos que não respeitarem a legislação. As sanções incluem advertências e multas de até 2% do faturamento (limitado a R$ 50 milhões), além da possibilidade de bloqueio dos dados.

A lei foi aprovada em 2018 e começou a valer em 18 de agosto do ano passado. A regulamentação é importante não só para o meio legal. Ela vai impactar profundamente os casos de uso de dados de mais de 210 milhões de brasileiros, além das organizações públicas e privadas que coletam, tratam, guardam, processam e comercializam os dados pessoais.

Isso significa que as empresas que incluírem informações dos seus clientes em suas bases terão que seguir os procedimentos previstos na lei. A legislação se fundamenta em valores como o respeito à privacidade, à autodeterminação informativa, liberdade de expressão, de informação, de comunicação e de opinião.

E trata de questões como a inviolabilidade da intimidade, da honra e da imagem, cria parâmetros para o  desenvolvimento econômico e tecnológico e a inovação, fala da livre iniciativa, livre concorrência e defesa do consumidor e dos direitos humanos – como a liberdade e dignidade dos cidadãos.

A LGPD modifica ainda alguns dos artigos do Marco Civil da Internet, que é uma das primeiras regulamentações sobre o assunto e que entrou em vigor em 2014. Além disso, ela transforma a maneira como empresas e órgãos públicos tratam a privacidade e a segurança das informações de usuários e clientes.

Esse tratamento de dados pode ser entendido como qualquer procedimento que utilize dados pessoais como coleta, processamento, armazenamento, utilização, divulgação e compartilhamento, entre outras opções. A LGPD determina que todos os dados pessoais, como nome, idade, estado civil e documentos, por exemplo, só podem ser coletados mediante o consentimento do usuário.

Especialistas avaliam o que muda com o início das punições

Iara Peixoto Melo, advogada, coordenadora da área de proteção de dados e direito digital do Chenut Oliveira Santiago Advogados, explica que o fato de parte da lei que prevê as sanções ainda não estar em vigor passava uma falsa impressão às empresas de que ainda não precisariam se preocupar tanto com a lei. Com o início das sanções administrativas, as empresas se preocuparão mais em demonstrar compliance com a LGPD.

“Para as empresas que ainda não adequaram seus processos à LGPD, é recomendável iniciar imediatamente um trabalho de análise e adequação de seus processos. É importante ressaltar que os titulares de dados também podem fazer denúncias junto às autoridades competentes caso observem alguma infração à LGPD”, afirma a advogada.

Um dos principais cuidados e preocupações, a partir de agora de acordo com a especialista, é que todas as empresas tenham processos envolvendo dados pessoais bem documentados, além de assegurar-se de observar os princípios previstos na lei.

“Como fazer para se resguardar? Implementar medidas que demonstrem que a empresa se preocupa com a segurança dos dados e em tratá-los de maneira legítima é extremamente importante para demonstrar boa fé. Infelizmente, é muito difícil eliminar toda e qualquer possibilidade de vivenciar um incidente, porém a adoção de políticas de boas práticas e governança, por exemplo, pode favorecer a empresa colaborando para a atenuação de eventual sanção”, diz.

Para Flávia Bortolini, especialista em direito digital e proteção de dados e associada do Damiani Sociedade de Advogados, a solução para quem ainda não se preparou é buscar adequação o quanto antes. “O correto armazenamento e tratamento dos dados deve receber atenção especial das empresas, sejam tais dados de clientes ou de colaboradores”, explica.

É bom lembrar que a LGPD exige a presença de um data protect officer (DPO), que é quem responderá perante a ANPD sobre o tratamento de dados. Cada empresa deve eleger um responsável, seja ele interno ou externo.

Já a pessoa física precisa ficar atenta aos dados informados diariamente aos sites ou cadastros. É importante questionar qual será o uso desses dados e com quem serão compartilhados: as empresas têm obrigação legal de informar a forma de tratamento.

Além disso é importante prestar atenção aos termos de privacidade em sites e aplicativos, já que por lei devem informar ao usuário sobre quais os dados utilizados e qual destino será dado a eles.

Luiz Felipe Rosa Ramos, co-head de proteção de dados da Advocacia José Del Chiaro, explica que é necessário para as empresas estabelecer procedimentos para atender aos direitos dos titulares, como o direito de acessar os seus dados pessoais e solicitar a eliminação de dados tratados em excesso. Para o advogado, um programa de adequação não pode evitar o amplo mapeamento dos tratamentos realizados pela organização e a elaboração de uma política de privacidade, com treinamentos específicos.

“Essas organizações precisam pautar suas operações com dados pessoais em bases legais definidas na LGPD (como o consentimento ou a execução de contrato) observar princípios da lei (como o da transparência e prestação de contas), atender aos direitos dos titulares (como o da portabilidade), além de estabelecer medidas de governança e segurança da informação”, diz.

Ele avalia que as novas medidas não são triviais e devem ser prioridade neste momento. “Requerem, sobretudo, uma mudança cultural no âmbito das organizações. Aquelas que falharem em acompanhar os novos padrões de proteção de dados acabarão sujeitas às sanções que entram em vigor, além de perder credibilidade e oportunidades de negócio”, afirma.

Maria Cibele Crepaldi Affonso dos Santos, sócia gestora do Costa Tavares Paes Advogados, orienta que o momento é de treinamento de toda a equipe de profissionais. “Os colaboradores têm que entender a importância da proteção dos dados e, consequentemente, abraçar e observar as políticas de proteção instituídas pela empresa”.

Ela explica que a coleta de dados deve se limitar àqueles realmente necessários para a finalidade a que se destinam. “Se não é necessário coletar a data de nascimento do consumidor no cadastro que ele fizer para aquisição de produtos no e-commerce, esse é um dado que não deve ser coletado. Da mesma forma, é preciso ter precaução com o envio, o compartilhamento, dos dados para terceiros: se a empresa não tiver obrigação legal ou motivo e não informar na sua política sobre esse compartilhamento não pode compartilhar dados com terceiros”, diz.

A empresa precisa também certificar-se de que, caso o titular do dado solicite a exclusão dos seus dados ou a alteração dos seus dados da base de dados da empresa, a empresa tenha condição de fazer o que foi solicitado pelo titular e também apresentar prova do que foi feito, caso necessário.

Notícias Relacionadas

Notícias

FGV promove debate sobre a reforma tributária

Transmitido pelo YouTube, webinar vai abordar a polêmica tributação do consumo

Notícias

Cultivo de cannabis com fins medicinais ganha força com decisões do STJ

Ministros vêm aplicando precedentes e concedendo habeas corpus a pacientes