Desde o dia 1º de agosto passaram a ser aplicadas sanções às empresas pelo cumprimento da LGPD (Lei Geral de Proteção de Dados). Em vigor desde setembro e após um prazo para que a sociedade se adequasse, os pontos que tratam das penalidades administrativas entraram em vigência e as empresas passaram a ser penalizadas.
A vulnerabilidade na segurança de dados e a privacidade de informações passaram a ser amplamente discutidas. O que reforçou a necessidade de regulamentar a lei 13.709/2018, promulgada em 2018, que salvaguarda estes dados em todo país.
Conforme o Art. 1º da Lei, todas as pessoas jurídicas, ou seja, todos os CNPJs precisam se adequar à Lei e as pessoas físicas que tenham algum retorno financeiro que estão coletando dados, a exemplo dos profissionais liberais. Mas, em sua grande maioria, são direcionadas às pessoas jurídicas, tanto de direito privado quanto público. Em relação à entidade privada não importa o tamanho pode ser desde o MEI (Microempreendedor Individual), startup que está iniciando, até uma grande empresa.
As pessoas físicas são os titulares de dados, desta forma, a Lei visa que haja uma transparência de dados, ou seja, quando essas pessoas jurídicas coletar essas informações, os titulares saibam o que elas estão fazendo com o tratamento desses dados. “A Lei entende como tratamento, todos os verbos coletar, modificar, armazenar, compartilhar, eliminar. Qualquer atividade que você faz com esses dados eles chamam de forma genérica tudo é tratamento de dados para a Lei. Vale lembrar também que para Lei não só dados digitais como dados também não digital, ou seja, documentos que preenchemos como formulários fisicamente também se enquadram na LGPD”, explica o advogado especialista em Direito Digital, Aldo Evangelista.
Outro ponto que vale ressaltar da Lei, ela cria três personagens, um que é o controlador (pessoas jurídicas que coletam e vão dar direcionamento ao tratamento dos dados). A segunda pessoa é o operador (pode ser interno dessa empresa ou pode terceirizar fazer o tratamento dos dados, conforme a determinação do controlador) e a terceira seria o encarregado (que vai fazer a comunicação entre a empresa e o mundo externo) que pode ser as instituições públicas, ANPD (Autoridade Nacional de Dados) órgão centralizador que fiscaliza e também os titulares de dados as pessoas físicas que irão entrar com pedidos para saber informações sobre os nossos dados com a empresa através do encarregado.
A Lei define o que são dados pessoais sensíveis. “Essa autorização da Lei para os controladores obterem os nossos dados, são chamadas de base legal, e na Lei são dez. No senso comum as pessoas só falam em consentimento como se fosse a solução para tudo com relação a LGPD, na verdade é uma dessas bases legais. Existem outras ações legislativas a qual a pessoa pode coletar dados, um exemplo são as escolas, o imposto de renda, então seriam outros tipos de base legal”.
De acordo com o especialista, desde o dia 1º a ANPD tem autorização para aplicar as sanções administrativas, com isso o órgão está finalizando para divulgar como será o procedimento desse processo administrativo, caso haja alguma denúncia ou se identifica alguma pessoa jurídica que não está fazendo o tratamento de dado corretamente, será aberto o processo administrativo e as empresas terão o direito ao contraditório e no final dependendo da situação podem ser penalizadas ou não.
Ele lembra que nada impede que haja penalidades cíveis ou criminais. “Se porventura nós titulares de dados, em caso de sanção administrativa, podemos procurar diretamente a ANPD, há um canal no site para fazer essas denúncias ou procurar um advogado na área, caso precise com ações para responsabilização cível. “Além disso, a ANPD não conflita se for algo em relação ao consumo. Neste caso, nós, titulares de dados, podemos procurar diretamente o Procon que vai tomar suas providências dentro da competência de cada orgao”.
Sanções administrativas
-advertência, com indicação de prazo para adoção de medidas corretivas;
-multa simples, de até 2% do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000 por infração;
-multa diária, observado o limite total a que se refere o inciso II;
-publicização da infração após devidamente apurada e confirmada a sua ocorrência;
-bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
-eliminação dos dados pessoais a que se refere a infração;
-suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;
-suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 meses, prorrogável por igual período;
-proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
Foto/Destaque: Divulgação