NOTÍCIAS
LGPD: empresa que descumprir a lei já está sujeita a responder civilmente
Por: Roberta Prescott - 08/10/2020

Como o até então o Brasil não tinha uma lei específica de tratamento de dados pessoais, as empresas se deparam com a demanda pela criação de uma cultura de proteção de dados pessoais que, a depender de seu segmento de atuação, não existia, pontuou Beatriz Paccini, sócia do Brasil Salomão e Matthes Advocacia, ao responder a questões da Abranet com relação à entrada em vigor da Lei Geral de Proteção de dados (LGPD). 

Com relação à adequação das pequenas e médias empresas, Paccini apontou que a LGPD trata as empresas de forma igual, independentemente do seu porte, mas lembrou que a Autoridade Nacional de Proteção de Dados (ANPD) poderá editar normas, orientações e procedimentos simplificados e diferenciados para que microempresas, empresas de pequeno porte e startups possam se adequar à LGPD. “Ocorre que a ANPD ainda não foi devidamente constituída, de modo que não existem, até o momento, normas específicas para empresas de menor porte”, assinalou.

Leia a íntegra da entrevista: 

Abranet — As punições e multas previstas pela LGPD já podem ser aplicadas? Como funcionam? 

Beatriz Paccini — É importante esclarecer que a LGPD prevê dois tipos de punição. A primeira decorre da responsabilidade civil e está prevista no seu artigo 42, que determina que, em caso de violação ao disposto na LGPD, o agente de tratamento poderá ser responsabilizado pela reparação do dano, seja ele patrimonial, moral, individual ou coletivo. Esse artigo entrou em vigor em 18/9/2020. Já as sanções administrativas, previstas no artigo 52, que vão desde advertências até multas, que podem alcançar o patamar de 2% do faturamento do grupo econômico, limitadas a R$ 50.000.000,00, entram em vigor a partir de agosto de 2021. Essas sanções administrativas não poderão ser aplicadas retroativamente. Contudo, como destacado, a empresa que descumprir a lei já está sujeita a responder civilmente pelos danos que eventualmente causar.

Como as empresas de menor porte, as PMEs, devem se adequar? A maioria não tem um departamento focado em compliance e nem os recursos para fazer as adaptações. O que elas têm de fazer primeiro e como traçar um plano para estar em conformidade?

A LGPD, em princípio, trata as empresas de forma igual, independentemente do seu porte. Contudo, a Autoridade Nacional de Proteção de Dados (ANPD), órgão responsável por regular a LGPD, poderá editar normas, orientações e procedimentos simplificados e diferenciados para que microempresas, empresas de pequeno porte e startups possam se adequar à LGPD. Ocorre que a ANPD ainda não foi devidamente constituída, de modo que não existem, até o momento, normas específicas para empresas de menor porte.

De qualquer forma, entendo que a primeira coisa a ser feita é analisar se a empresa tem como uma de suas atividades o tratamento de dados pessoais e se ela pode realizar melhorias para evitar que haja eventuais vazamentos de tais dados. 

Destaca-se que até então o Brasil não tinha uma lei específica de tratamento de dados pessoais, o que demandará a criação de uma cultura de proteção de dados pessoais por parte das empresas que, a depender de seu segmento de atuação, não existia.

Assim, espera-se certa razoabilidade dos nossos tribunais e órgãos responsáveis na aplicação da lei, em especial neste momento inicial, no qual as empresas ainda estão adquirindo mais conhecimento sobre a lei e implementando seus programas de adequação.

Eu indicaria em especial os seguintes passos, considerando o disposto na lei:

1. Indicar o encarregado, responsável pela comunicação com os titulares e com a Autoridade Nacional de Proteção de Dados (ANPD) (atualmente todas as empresas precisam indicar um encarregado);

2. Desenvolver protocolo de atendimento aos direitos dos titulares (a lei prevê uma série de direitos aos titulares, que poderão ser exercidos mediante requisição);

3. Disponibilizar em seu site Aviso de Privacidade/Política de Proteção de Dados Pessoais/Política de Cookies e as informações de contato do Encarregado;

4. Realizar treinamentos internos e iniciar o desenvolvimento de uma cultura de proteção de dados em sua organização;

5. Mapear o tratamento de dados pessoais realizado por sua organização, com a identificação dos dados pessoais tratados, como são coletados, como são tratados, onde estão armazenados e quando e como são eliminados (a lei exige que a empresa mantenha registro das operações de tratamento de dados pessoais que realizar);

6. Averiguar se sua organização e os operadores envolvidos no tratamento adotam medidas de segurança, técnicas e administrativas, aptas a proteger os dados pessoais (a lei exige a adoção de medidas de segurança);

7. Revisar e ajustar contratos que versem sobre tratamento de dados pessoais e criar regulamentação interna acerca da proteção de dados pessoais, a ser observada pelos colaboradores da empresa; e

8. Desenvolver protocolo de resposta a incidentes de segurança.

Qual deve ser o foco de atenção para os provedores de internet?

Entendo que o foco de atenção para os provedores de internet neste primeiro momento seja em especial: 

(i) a indicação e disponibilização de informações de contato do encarregado, 

(ii) a elaboração e disponibilização de seu Aviso de Privacidade, Política de Proteção de Dados Pessoais e Política de Cookies, 

(iii) a criação de um protocolo de atendimento às requisições dos titulares, com a definição de regras para confirmar a identidade do titular, e 

(iv) a realização do mapeamento dos dados pessoais tratados, averiguando quais dados efetivamente precisam ser tratados pela empresa, eliminando os dados pessoais desnecessários.

Ainda, é de extrema importância a revisão das medidas de segurança adotadas pela empresa e por seus fornecedores, prestadores de serviço e empresas terceirizadas, no intuito de mitigar o risco de eventual vazamento de dados pessoais e danos aos titulares. 

A adequação à LGPD exige a adoção de diversas medidas, sendo um programa contínuo que deverá fazer parte do dia a dia da empresa. No entanto, é preciso ter calma, já que se trata de uma lei nova, que traz bastante insegurança acerca de sua interpretação e aplicação, especialmente considerando que o órgão responsável por zelar, implementar e fiscalizar o cumprimento da lei ainda não está em operação.

Ressalta-se que a lei não proíbe o tratamento de dados pessoais, mas cria regras para que ele aconteça, sendo que dentre seus fundamentos estão o desenvolvimento econômico e tecnológico e a inovação, bem como a livre iniciativa e a livre concorrência. Além disso, o tratamento de dados nem sempre depende do consentimento do titular, já que a lei prevê outras hipóteses de tratamento, como cumprimento de obrigação legal ou regulatória, execução de contratos e de procedimentos preliminares, exercício regular de direitos em processos, dentre outros.

Espera-se, assim, que as empresas atuem com boa-fé e transparência, com a revisão de seus procedimentos e adoção de eventuais medidas cabíveis para proteger os direitos dos titulares.

Enviar por e-mail   ...   Versão para impressão:
 

LEIA TAMBÉM:
15/10/2020
08/10/2020
01/10/2020
29/09/2020
09/09/2020
27/08/2020
17/08/2020
01/07/2020
25/06/2020
29/04/2020


Copyright © 2014-2020         Abranet - Associação Brasileira de Internet         Produzido e gerenciado por Editora Convergência Digital