Antes de entrar em vigor, a Lei Geral de Proteção de Dados (Lei 13.079/18), também conhecida como LGPD, foi amplamente discutida em todo o país. Tal repercussão decorre principalmente do impacto que a nova legislação causa no ambiente organizacional das empresas e órgãos públicos. A LGPD, que já está em vigor, possui um objetivo claro: proteger os direitos fundamentais de liberdade e de privacidade da pessoa natural quando ocorrer tratamento de dados no território nacional visando a oferta ou fornecimento de bens/serviços, ou a própria operação dos dados em si. Assim, traz uma grande modificação na forma como os dados pessoais dos colaboradores das empresas e clientes são tratados, já que é exigida a adoção de medidas técnicas, administrativas e de segurança pelos agentes de tratamento que sejam aptas a protege-los de acessos não autorizados e de situações acidentais ou ilícitas.
Para Paulo André Mettig Rocha, advogado com vasta experiência em Direito Civil, Direito do Consumidor, e sócio do Pedreira Franco e Advogados Associados, os impactos causados pela pandemia tornaram ainda mais frequentes as transferências de dados através do ambiente virtual, ocasionando uma série de fraudes e crimes relacionados à insegurança de dados fornecidos pelos usuários. “As empresas já estão começando a lidar com as primeiras demandas decorrentes da vigência da Lei Geral de Proteção de Dados. Titulares de dados começam a pedir informações e já existem processos correndo na justiça sobre esta matéria, principalmente em casos de vazamento das informações perante terceiros”, destaca o advogado.
Com a vigência da LGPD, empresas e órgãos públicos deverão estabelecer métodos para o controle de tratamento dos dados de seus consumidores e usuários, tanto nos meios físicos, como nos digitais, sob pena de sanções administrativas, penais e reparações na esfera cível. “Ou seja, a partir de agora, a legislação deixa claro que o agente de tratamento deverá indicar a finalidade da coleta dos dados, a transparência no uso destas informações, a liberdade de acesso do titular aos dados coletados, assim como a necessidade de adoção de medidas que garantam a segurança em todas as etapas deste tratamento, sob pena de ser responsabilizado”, explica. Entende-se como tratamento de dados todo e qualquer tipo de operação realizada com dados de uma pessoa natural, tais como a coleta, a utilização, a classificação, a distribuição, o arquivamento, a eliminação, a transferência, dentre outras.
“Os tratamentos de dados, sejam provenientes de documentos físicos ou pelo meio digital, deverão ser controlados em todas as operações realizadas, sempre estabelecendo critérios objetivos do motivo pelo qual o dado é coletado, quais operações serão realizadas com estas informações, assim como obtendo, se não estiverem presentes as exceções previstas na lei, a autorização expressa do titular para este fim, o que possibilitará, à título exemplificativo, o compartilhamento das informações com empresas terceiras, sempre de forma extremamente segura e criteriosa, protegendo os direitos fundamentais de liberdade e de privacidade da pessoa natural”, afirma Paulo André.
Além disso, o advogado destaca a importância da administração de riscos e falhas, ao afirmar que “As empresas que fazem a gestão de dados pessoais precisam realizar uma avaliação criteriosa das operações de tratamento de dados que estão realizando, assim como devem estabelecer regras de boas práticas e de governança, além de adotar medidas preventivas de segurança, estabelecendo rotinas para tratar dos incidentes com agilidade, já que as sanções previstas podem ser de alto impacto. É importante destacar, ainda, que em virtude da dinâmica do mercado e da relação comercial cada vez mais complexa entre empresas parceiras ou subcontratadas, é fundamental que sejam adequados os contratos às regras estabelecidas pela LGPD, visto que todos os agentes de tratamento estão sujeitos à lei e podem até responder em conjunto pelos danos causados”.
Se a lei for desrespeitada, a Autoridade Nacional de Proteção de Dados – ANPD – poderá aplicar as seguintes sanções às empresas: advertência, bloqueio ou eliminação do uso de dados, multas de até 2% do faturamento da Pessoa Jurídica (com base no seu último exercício), estas limitadas a R$50.000.000,00 por infração, além de multa diária e a obrigação da publicização da infração.
