A Lei Geral de Proteção de Dados e as sanções administrativas
A Lei Geral de Proteção de Dados (Lei 13.709/2018), que entrou em vigor em 18.09.2020, cria um cenário de segurança jurídica, com o fim de proteger os dados pessoais de todo cidadão que esteja no Brasil.
Nesse cenário, as empresas deverão garantir a segurança dos dados pessoais tratados. Isso significa que todas as instituições – públicas e privadas – que coletam, armazenam, fazem o tratamento e compartilham dados pessoais terão de se adequar implementando mecanismos e processos de gestão de tratamento de dados.
Por conseguinte, o amadurecimento da cultura concernente à gestão de informações será obrigatório de agora em diante e o quanto antes as empresas se adequarem, menor será o risco de um passivo administrativo ou judicial. Além disso, o atendimento às diretrizes da LGPD pode ser um diferencial competitivo na fidelização de clientes e parceiros.
No âmbito da LGPD, dados pessoais são informações relacionadas à pessoa física identificada ou identificável.
Fato é que esses dados representam o principal ponto de atenção em relação à nova legislação. Nesse sentido, vale destacar que dados pessoais são informações como: nome; endereço; RG; CPF; números de telefone; números de IP.
Toda pessoa natural tem assegurada a titularidade de seus dados pessoais, sendo-lhe garantido os direitos fundamentais de liberdade, intimidade e de privacidade. Assim, são direitos do titular de dados pessoais o de obter, a qualquer momento e mediante requisição: a) a confirmação da existência de tratamento; b) o acesso aos seus dados tratados; c) a correção de dados incompletos, inexatos ou desatualizados; d) a anonimização, bloqueio ou eliminação dos dados desnecessários, excessivos ou tratados em desconformidade; e) a portabilidade dos dados; f) a eliminação com o consentimento do titular; g) a informação das entidades públicas ou privadas sobre o compartilhamento dos dados; e h) a revogação do consentimento.
O consentimento é uma das formas mais visíveis para as empresas poderem tratar dados. Ele funciona como a autorização, por parte da pessoa física, para que a empresa faça o tratamento daquela informação.
O Termo de Consentimento para Tratamento de Dados visa registrar a manifestação livre, informada e inequívoca pela qual o Titular concorda com o tratamento de seus dados pessoais para finalidade específica, em conformidade com a Lei nº 13.709 – Lei Geral de Proteção de Dados Pessoais (LGPD).
O conceito de tratamento, no âmbito da LGPD, é bastante amplo. Mas pode-se dizer resumidamente que ele se refere ao ciclo de ponta a ponta durante o qual o dado pessoal está sob o poder da empresa. Ele começa com a entrada do dado na organização, ou seja, desde a coleta. Então passa por todas as operações realizadas e se encerra quando há a eliminação das informações dos sistemas da empresa.
Apesar da Lei estar em vigor desde setembro de 2020, no dia 1º de agosto passaram a valer as penalidades previstas na Lei Geral de Proteção de Dados. Portanto, agora podem ser aplicadas as penalidades pelo seu descumprimento.
Os artigos 52 a 54 estão compreendidos na Seção I do Capítulo VIII da Lei e preveem as Sanções Administrativas previstas na LGPD, podendo ser aplicadas: a) Advertência; b) Multa simples (até 2% do faturamento até o limite de R$ 50 milhões); c) Multa diária; d) Possibilidade de publicização da infração; e) Bloqueio dos dados pessoais envolvidos; f) Eliminação dos dados pessoais envolvidos; g) Suspensão parcial, por até 06 (seis) meses, do banco de dados envolvidos; h) Proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
O §1º do artigo 52 dispõe que as sanções serão aplicadas após procedimento administrativo com ampla defesa, de forma gradativa, isolada ou cumulativa, levando-se em consideração as peculiaridades do caso concreto.
Ainda, deverão ser levadas em consideração quando da aplicação da sanção: a) Gravidade e natureza da infração; b) Boa-fé e cooperação do infrator; c) Vantagem obtida com a infração; d) Condições econômicas do infrator; e) Reincidência e gravidade do dano causado; f) Adoção de mecanismos e procedimentos internos de proteção de dados; g) Adoção de política de boas práticas e governança; h) Pronta adoção de medidas corretivas; e i) Proporção entre a gravidade e a intensidade da infração.
Assim, conclui-se que a implementação de bom programa de proteção de dados, incorporando os princípios e as salvaguardas previstas na Lei em todas as etapas do processo de desenvolvimento de um produto ou serviço, protegendo o dado continuamente, em todo o seu ciclo de vida, é medida fundamental para que seja evitada a violação de dados pessoais, gerando consequências econômicas e reputacionais à empresa.
