Lei Geral de Proteção de Dados Pessoais (LGPD) já está em vigor desde 18 de setembro de 2020, implicando em uma série de preocupações a empresas de qualquer setor e qualquer porte, devido à obrigação de todas adequarem-se às disposições legais, sob pena de sofrerem a aplicação de severas sanções, conforme será esclarecido a seguir.
Os Estados Unidos e a União Europeia já possuem regramento sobre o tratamento de dados pessoais, forçando o Brasil a adotar uma legislação a este respeito também, a fim de evitar uma imagem ruim perante a comunidade internacional e impactos negativos na economia. Como exemplo, pode-se pensar que uma empresa norte-americana ou europeia, que possui filial no Brasil, espera que, no mínimo, o País seja seguro com relação ao tratamento de dados.
Portanto, inspirado no Regulamento da União Europeia, o Brasil promulgou a Lei nº 13.709/2020 para regular o tratamento de dados pessoais no País.
No entanto, a Lei de Proteção de Dados Pessoais terá grande impacto no setor empresarial, não restando outra alternativa às empresas afora a adequação aos seus dispositivos legais, adotando uma série de novas práticas e políticas nas suas relações com consumidores, parceiros, empregados, entre outros.
Assim, o objetivo do presente artigo é abordar os principais pontos da Lei Geral de Proteção de Dados Pessoais, promovendo a conscientização de todos que tratam dados pessoais, em especial, as empresas, para a necessidade de adequação aos dispositivos da Lei.
De pronto, para uma melhor compreensão da LGPD, deve-se ter em mente que a Lei criou algumas figuras, tais como o controlador, o operador e o encarregado. O controlador é a pessoa, física ou jurídica, com competência para tomar decisões referentes ao tratamento de dados pessoais; o operador, por sua vez, é a pessoa, física ou jurídica, que efetivamente realiza o tratamento dos dados em nome do controlador; e o encarregado é a pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Agência Nacional de Proteção de Dados.
No que diz respeito a definição de dados pessoais, logo nos primeiros artigos da Lei é possível verificar que se resumem em toda informação passível de identificar uma pessoa natural, como nome, número do CPF, imagem, e diversos outros. Neste contexto, é importante perceber que toda e qualquer empresa possui um certo armazenamento de dados pessoais e, de acordo com o inciso X do artigo 5º da referida Lei, toda operação realizada com dados pessoais, físicos ou digitais, é classificada como tratamento de dados pessoais e, portanto, se submetem à adequação imposta pela Lei Geral de Proteção de Dados.
Em outras palavras, dados pessoais permeiam todas as atividades, sendo inevitável as empresas possuírem arquivamento de dados de funcionários, dados de clientes, entre outros.
Por outro lado, cumpre referir que a Lei não proíbe a utilização de dados pessoais, mas sim, regula o fluxo adequado de dados de pessoas naturais a ser empregado pelas empresas e órgãos públicos.
Não obstante, o artigo 42 do referido diploma legal fixa a responsabilidade civil do controlador e/ou do operador de dados, quando, em razão do tratamento de dados pessoais, violarem a Lei Geral de Proteção de Dados, causando danos de ordem moral, patrimonial, individual ou coletivo à outrem. Nesta hipótese, a Lei dispõe de forma clara a possibilidade de condenar o controlador e o operador ao ressarcimento dos danos causados.
Merece destaque o inciso I, do parágrafo 1º do referido artigo que consagra hipóteses em que o operador responde solidariamente ao controlador, quando aquele agir em desarco com as disposições da LGPD ou descumprir ordens do controlador, mitigando, assim, a responsabilidade do deste.
Um ponto extremamente alarmante da LGPD diz respeito às sanções severas que poderão ser impostas pelo descumprimento das determinações, encontrando-se definidas nos artigos 52 a 54 da Lei. Neste contexto, ressalta-se que a multa pelo descumprimento da LGPD é de 2% do faturamento bruto da empresa, podendo chegar a até R$ 50.000.000,00 (cinquenta milhões de reais) por cada infração.
Sob está ótica, percebe-se que é necessário que as empresas atentem para as determinações de coleta, tratamento, armazenamento, utilização, comercialização, enfim, qualquer operação que envolva o processamento de dados pessoais realizada deve estar em conformidade com o disposto na Lei.
Outro ponto que merece destaque é a transparência nas operações. A Lei de Proteção de Dados prestigia a transparência das empresas no que diz respeito ao tratamento de dados, isso quer dizer que, na hipótese de acontecer algum incidente relativo a dados pessoais, a empresa deve comunicar a Agência Nacional de Proteção de Dados bem como os titulares dos dados que foram vazados, o que resulta em um atenuamento das sanções a serem aplicadas.
Além disto, é importante que as empresas, desde logo, além de adotarem medidas de segurança e implementarem em contratos, sites e nos relacionamentos negociais cláusulas de consentimento para utilização de dados pessoais, realizem uma mudança na cultura de uma forma geral na empresa. Isto é, faz-se necessário que as empresas realizem treinamentos e conscientização de seus funcionários e parceiros.
Com efeito, deve-se haver a consciência de que, da mesma forma que as empresas devem ter responsabilidade social, ambiental e fiscal, agora deverão passar a ter responsabilidade algorítmica também.
Não restam dúvidas que o funcionamento das empresas no que diz respeito ao tratamento de dados pessoais será impactado drasticamente, podendo vir a sofrer penalidades severas caso não se adaptem. Neste contexto, cumpre ressaltar que, além da aplicação de multas altíssimas, as empresas que não se adequarem à Lei sofrerão com a opinião pública negativa, sugerindo a ausência de confiabilidade ao mercado.
A orientação, portanto, é que as empresas busquem entender o seu nível de dependência e o volume de dados pessoais que tratam (diagnóstico) para avaliar os riscos, bem como quais medidas de adequação precisam ser tomadas (soluções).
Assim, a depender da atividade, porte, nível de dependência de cada empresa relativamente com os dados pessoais é que será ponderada a necessidade de contratar uma pessoa, física ou jurídica, a ser designada como o encarregada ou não, o investimento em programas/softwares de segurança, planos de contingências, entre outras diversas medidas que deverão ser adotadas de acordo com o perfil de cada empresa.
Por fim, percebe-se que, independente do porte da empresa ou da sua área de atuação, é uma obrigação adequar-se as disposições da Lei Geral de Proteção de Dados. Com o intuito de garantir a devida segurança às empresas, a Garrastazu Advogados conta com uma equipe especializada para prestar assessoria jurídica às empresas neste momento de mudança legislativa, estando de portas abertas para auxiliá-las nesta fase de tantas mudanças.
Fique por dentro das nossas novidades.
Acompanhe nosso blog e nossas redes sociais.