LGPD: Riscos e Sanções
Em agosto deste ano, entrará em vigor a Lei Geral de Proteção de Dados - LGPD. Esta lei cria diretrizes para o tratamento (coleta, uso, armazenamento, destruição etc.) de dados pessoais, que são informações sobre pessoas identificadas ou identificáveis, como nome, endereço, telefone, e-mail, idade etc.
A proteção trazida por esta lei é de maior cuidado para com as pessoas físicas. Ela impõe diversas medidas a serem tomadas pelas empresas que detêm esse tipo de informação, bem como prevê sanções àquelas que não ajam em conformidade com suas determinações.
Então, para responder à pergunta que o empresário se faz (quais os riscos da não adequação da minha empresa a esta Lei?) vamos analisar as possíveis sanções que a LGPD traz, algumas situações mercadológicas e a posição do titular dos dados (aquele a quem a informação se refere) numa possível situação irregular.
A Autoridade Nacional de Proteção de Dados (órgão específico do governo) poderá aplicar:
- advertência, com indicação de prazo para adoção de medidas corretivas: Esta hipótese se aplica às infrações de menor gravidade, que geram menos danos.
- multa simples, de até 2% do faturamento da empresa privada, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50 milhões por infração: nesta segunda hipótese, devemos nos atentar à expressão 'por infração', pois se em um incidente forem verificadas diversas infrações, a multa poderá ser aplicada a cada uma delas.
- multa diária, observado o limite total a que se refere o inciso II (R$ 50 milhões): a multa diária, via de regra, é aplicada como forma de incentivar a tomada de determinada medida. Enquanto a determinação não for atendida, incidirá multa.
.png)
- publicização da infração após devidamente apurada e confirmada a sua ocorrência: esta sanção pode parecer pouco importante à primeira vista, mas tornar pública a informação sobre as infrações cometidas pode resultar em g
rande impacto na empresa, tanto com relação aos seus clientes, que lhe confiam informações, quanto a eventuais fornecedores e parceiros, que não terão interesse em contratar com organizações que tenham sua imagem prejudicada.
- bloqueio dos dados pessoais a que se refere a infração até a sua regularização: o bloqueio dos dados, igualmente, tem grande potencial prejudicial às atividades empresariais, já que pode impedir a comunicação com clientes atuais e potenciais, até que as situações problemáticas sejam regularizadas em conformidade com a lei, o que poderá demandar tempo e recursos em grande escala, a depender do caso.
- eliminação dos dados pessoais a que se refere a infração: a eliminação terá como efeito a impossibilidade permanente de utilizar os dados referentes à infração, que serão eliminados do banco de dados, seja ele físico ou digital. Nesta hipótese, ainda que as medidas cabíveis sejam atendidas, os dados não poderão mais ser retomados, a não ser por nova coleta a ser realizada, pois serão excluídos.
- suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de seis meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador: esta previsão é direcionada ao controlador, aquele que tem poder de decisão sobre o tratamento dos dados. Ela estabelece a possibilidade de suspensão do funcionamento do banco de dados por períodos prorrogáveis até o total de doze meses, até que seja regularizada a atividade. O infrator ficará, assim, impossibilitado de acessar e utilizar o banco de dados.
- suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de seis meses, prorrogável por igual período: neste caso, o agente de tratamento é impedido de realizar sua atividade de tratamento de dados, ou seja, não pode coletar informações pessoais, armazená-las, usá-las, ou excluí-las. Isso significará provável diminuição ou até mesmo parada total das atividades, considerando que são quase inexistentes ou muito poucas as que independem do uso de dados pessoais.
- proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados: por fim, a proibição total terá o mesmo efeito acima colocado, mas sem tempo predeterminado, podendo culminar, até mesmo, no fim da atividade empresarial.
No contexto do mercado, as empresas que tiverem se adequado à Lei terão uma tendência a apenas contratarem com empresas que adotem esses mesmos padrões. Primeiro, por questões de reputação, e segundo, porque a Lei prevê a possibilidade de responsabilidade solidária entre aqueles que tratam os dados pessoais, o que significa que a empresa que se preparou, investiu recursos financeiros e pessoais em sua adequação à Lei poderia eventualmente sofrer reprimendas pela inobservância de outra empresa que lhe preste serviços, por exemplo. Assim, gradativamente o mercado irá filtrar as empresas, e aquelas que não estiverem adequadamente preparadas ficarão para trás.
Por fim, quanto aos titulares dos dados, aqueles a quem as informações se referem, na hipótese de eventual infração que venha a gerar danos, materiais ou morais, eles terão direito a indenização. Neste caso, a responsabilidade dos agentes de tratamento (aqueles envolvidos na coleta, transferência, no uso etc. dos dados) é solidária, de forma que todos responderão igualmente pelo dano.
Essas são, portanto, algumas das consequências que podem acontecer na inobservância da Lei. É imprescindível que todas as empresas que lidam com dados pessoais, independentemente de sua atividade ou porte, se adequem à legislação o quanto antes. Do contrário, poderão ser penalizadas diretamente ou ter prejuízos com ações judiciais. O investimento na adequação, por outro lado, pode ampliar as possibilidades de negócio, haja vista que todas as organizações ficarão atentas aos padrões de proteção de dados para contratarem entre si.
Beatriz Martins de Oliveira - Advogada, especialista em Direito Processual Civil e Mestranda em Direito da Sociedade da Informação.
Categoria: Proteção de Dados
Publicado em: 14/02/2020