Importante falarmos sobre sobre a Lei Geral de Proteção de dados (LGPD) e os impactos da não observância das exigências nela previstas, notadamente agora (a partir de 01/08/2021), pois o risco de autuação com aplicação de multas passa a vigorar.

O tema sobre Proteção de Dados é atual, mas não é completamente novo, pois já existiam legislações vigentes que garantiam a proteção de dados pessoais, tais como o Código de Defesa do Consumidor, a Lei do Cadastro Positivo, a Lei de Acesso à Informação, o Marco Civil da Internet – que inclusive assegura aos usuários da internet, entre outros direitos, a inviolabilidade e o sigilo do fluxo de comunicações e dos dados armazenados (art. 7º, II e III). 

Com o crescente avanço das tecnologias, percebeu-se que estas não conseguiam mais abranger todas as situações, e como resultado disso e da transformação tecnológica dos últimos anos, nasceu a necessidade de uma legislação especifica, foi assim que surgiu a Lei Geral de Proteção de Dados (Lei 13.709/2018) - popularmente conhecida como LGPD.

 A Lei 13.709/2018 – LGPD, teve como inspiração a GDPR (General Data Protection Regulation) – lei européia que trata da proteção de dados pessoais, e está plenamente em vigor de 2018.

A todo momento os nossos dados estão sendo coletados. Trata-se de uma prática muito comum para as empresas,  que coletam o máximo de informações para que possam criar mapas de comportamento, consumo, personalidade, assim influenciando no consumo dos indivíduos. Um dos principais ativos das empresas são os dados pessoais.

 A LGPD tem como função  fomentar o empreendedorismo e resguardar os direitos e liberdades fundamentais das pessoas físicas, no entanto, isso não significa que as empresas não possam mais fazer a coleta dos dados, mas terão que fazer com responsabilidade e  de forma transparente, com consentimento do titular e com uma finalidade especifica, garantindo ao titular dos dados a proteção, caso haja um possível um vazamento das suas informações.

Vale ressaltar que o consentimento não é a única hipótese prevista na legislação para realizar a coleta dos dados, a lei prevê ainda em seu artigo 7º , mais nove hipóteses que regulamentam o tratamento dos dados, são elas: cumprimento de obrigação legal ou regulatória; execução de contrato; proteção de crédito; interesses legítimos do controlador ou de terceiros; exercicio regular de direito em processo judicial, administrativo ou arbitral; realização de estudos por órgao de pesquisa; pela administração pública para execução de politicas públicas previstas; proteção da vida; tutela da saúde, e por fim o consentimento – que deve ser específico e não pode ser requerido de forma genérica.

Antes mesmo que a legislação entrasse em vigor, tivemos uma decisão histórica do STF reconhecendo como direito fundamental à proteção de dados pessoais1. Neste caso, houve o entendimento dos Ministros do STF de que o direito à proteção de dados pessoais é direito fundamental, traduzido esse direito no fundamento da dignidade da pessoa humana - art. 1º, III da CF -, e nas garantias de proteção à inviolabilidade da intimidade, à vida privada, à honra e à imagem das pessoas, assim como para autodeterminação informativa e o sigilo dos dados, presentes no art. 5º, X e XII, da CF.

O Judiciário, já vem sendo instado a julgar inúmeras ações que têm por objeto justamente o questionamento sobre a utilização de dados pessoais e os riscos de violação que este direito fere.

Recentemente, foi julgado recurso de Apelação no Tribunal de Justiça  do Estado de São Paulo que reconheceu a responsabilidade objetiva da empresa em decorrência do vazamento de dados do consumidor em seu website, configurando danos morais e condenando a empresa (operadora dos dados pessoais) a pagar danos morais ao consumidor2.

Assim como o Código de Defesa do Consumidor, o principal fiscalizador da LGPD é o próprio titular de dados, que ainda conta com um um órgão da administração pública federal responsável por zelar pela proteção de dados pessoais e por implementar e fiscalizar o cumprimento da LGPD no Brasil – Agência Nacional de Proteção de Dados – ANPD.

Embora o tema esteja em discussão constante, muitas empresas não começaram a governança necessária para estar em conformidade com as exigências da legislação, porém as sanções previstas começarão a valer.

A partir de 01/08/2021, as sanções previstas nos artigos, 52, 53 e 54 da Lei nº 13.709/2018 poderão ser aplicadas. Importante lembrar, que a LGPD prevê punições que vão desde advertências até multas que podem chegar a 50 milhões de reais.

As empresas devem ter a plena consciência da importância da adequação a LGPD, demonstrando assim sua preocupação em proteger o direito de privacidade dos titulares dos dados, trazendo assim mais segurança e entregando uma melhor experiência a seus clientes.

Compete exclusivamente à ANPD aplicação das sanções previstas, dentre elas:

  • Advertência, com indicação de prazo para adoção das medidas corretivas;
  • Multa simples, de até 2% (dois por cento) do faturamento (limitado 50 milhões reais)- por infração;
  • Multa diária;
  • Publicização da infração apurada e comprovada (que pode gerar um dano a reputação da empresa);
  • Bloqueio dos dados pessoais até regularização;
  • Eliminação dos dados pessoais a que se refere a infração;

As sanções acima previstas serão aplicadas após o procedimento administrativo que possibilite a oportunidade da ampla defesa de forma gradativa, isolada ou cumulativa, conforme prevê o §1º do artigo 52 da Lei 13.709/2018.

A ANPD inicialmente deve ter uma abordagem mais educativa, pois ela reconhece que precisa esclarecer alguns pontos da LGPD, tornando-a mais clara, acessível e palatável, garantindo maior segurança jurídica aos envolvidos. Para aplicação das penalidades será levado em consideração alguns aspectos:

  • Gravidade da Infração;
  • Boa Fé do Infrator;
  • Condição Econômica;
  • Proporcionalidade (vantagem auferida);
  • Pronta adoção das medidas corretivas;
  • Mecanismos e Procedimentos internos de Proteção de Dados;
  • Políticas de boas práticas e Governança;
  • Reincidência;
  • Grano do dano (gravidade);
  • Cooperação do Infrator;

Importante ressaltar que não será somente um incidente como vazamento de dados que implicará nas sanções previstas, mas a falta de governança, ou seja, falta de políticas, processos e uma estrutura organizacional para apoiar o gerenciamento de dados corporativos, poderão resultar em aplicação das penalidades cabíveis.

Cabe a autoridade nacional a análise do caso concreto e proporcional a aplicação das medidas punitivas, de forma há se observar o princípio constitucional da proporcionalidade e razoabilidade, uma vez que a imputação das sanções se aplicada da mesma forma para uma startup ou uma grande multinacional, poderia inviabilizar a pequena empresa de manter seus negócios.

Isso significa que as empresas, independentemente do porte, devem sempre demonstrar a boa-fé, que tem adotado as medidas necessárias para estar em conformidade com as exigências previstas na legislação, e se munir de todas as ferramentas para provar que usou de todos os meios para proteger os dados dos titulares. Vale lembrar que quando falamos de dados não há distinção se estes são coletados no ambiente on line, off line, por meio físico ou digital.

Ao realizar a coleta de dados, a empresa deve coletar somente os dados necessários para sua finalidade, garantindo sempre a transparência para o titular deixando realmente claro quais são os dados coletados, e garantir que todos os direitos previstos sejam prontamente atendidos.

Conclusões.

Desse modo, podemos concluir que a LGPD visa garantir e direcionar de forma consistente a necessidade e comprometimento das empresas em resguardar os direitos fundamentais como o da privacidade dos cidadãos.

A nova legislação padronizou quais seriam os mecanismos necessários para garantia de segurança à informação dos dados coletados, e as penalidades em caso de não cumprimento destes.

Assim, a não observância da legislação implicará em penalidades aos responsáveis pelo tratamento de dados pessoais que poderão atingir a imagem e reputação da empresa, como ainda aplicar multas visando que as empresas estejam atentas a segurança dessas informações.

A lei busca estimular a aplicação de seus dispositivos em caráter preventivo, e não punitivo, por isso as empresas devem o quanto antes começar a adequação dos seus processos, assim, demonstrando comprometimento e preocupação com as informações coletadas.
---------------------------------------------------------------------------------------------------------------------

[1] Ações Diretas de Inconstitucionalidade n. 6387, 6388, 6389, 6393 e 6390.

[2] Apelação Cível n º 1003122-23.2020.8.26.0157 -TJ/SP – Rel.Renato Sartorelli.