Por que as empresas precisam se adequar à LGPD?


A Lei n.º 13.709/2018, mais conhecida como Lei Geral de Proteção de Dados (LGPD), inaugura uma revolução na proteção de dados pessoais no Brasil [1].


Nesse sentido, a normativa transforma o titular de dados [2] em protagonista das decisões sobre o uso das suas informações e lhe confere a possibilidade de questionar o tratamento dos seus dados pessoais


Seu desafio é o mesmo enfrentado por diferentes leis ao redor do mundo: como conciliar o direito à privacidade e uma economia globalizada, informatizada e cada vez mais digital, que estabeleceu um certo padrão em negócios jurídicos, nos quais, invariavelmente, ocorre o tratamento de dados pessoais?


Isso porque o uso desses dados passou a ser não apenas fundamental para celebração de negócios, mas também se transformou em um ativo valioso para grandes e pequenas organizações [3].


Conhecendo melhor seu público, as empresas conseguem oferecer com maior assertividade seus produtos e serviços, obtendo, para si, diferencial competitivo que pode ser determinante para se sobressair na sua área de atuação.


A necessidade de tratamento adequado dos dados ao redor do mundo


Nesse cenário, firmar diretivas para o tratamento de dados pessoais é essencial para garantir que estes não sejam utilizados para atender a interesses estritamente comerciais, contra a vontade dos cidadãos, ultrapassando limites éticos e legais.


Esta preocupação surgiu, especialmente, após o The Guardian, em 2018, denunciar que a empresa Cambridge Analytica teria coletado dados pessoais de 87 milhões de usuários do Facebook, em um sistema que permitiu influenciar as escolhas eleitorais em diversos países [4].


Para tanto, a Cambridge Analytica se aproveitou de uma vulnerabilidade na plataforma: o Facebook permitia que ativos externos coletassem dados de seus usuários, com a suposta pretensão de aprimorar a experiência destes.


Já hoje, com o reforço das regulações de proteção de dados ao redor do mundo, todas as empresas de pequeno, médio e grande portes devem investir em cibersegurança. Cria-se, com estas normativas, um novo patamar de responsabilidade e prestação de contas.


Tratamento de dados pessoais no Brasil


No Brasil, apesar de a LGPD ainda não ter entrado em vigor, o MPDFT ajuizou Ação Civil Pública contra uma instituição financeira, em razão do vazamento de dados pessoais de cerca de 19 mil correntistas [5].


Naqueles autos, o MPDFT entendeu que a instituição financeira não teria tomado os cuidados necessários para garantir a segurança dos dados pessoais de seus correntistas, além de ter negado o vazamento e se recusado a prestar informações [6].


Nessa mesma perspectiva, o Instituto Sigilo propôs ação contra empresa de produtos cosméticos, que, por meio de matéria veiculada em seu portal eletrônico, deixou expostos milhões de dados de dados dos usuários que utilizavam sua plataforma para adquirir produtos e serviços [7].


Praticamente todos os dados dos usuários foram expostos no incidente de segurança mencionado, o que poderá ocasionar inúmeras fraudes praticadas por terceiros mal intencionados que detenham essas informações.


Assim, a ação requereu a condenação da empresa à obrigação de fazer, para que aplique medidas técnicas e tecnológicas necessárias para retirar os eventuais dados vazados da internet, a fim de que cesse os prejuízos aos seus consumidores, sob pena de multa diária de R$1.000,00.


Além disso, pleiteou a condenação da empresa ao pagamento de indenização por danos morais pelo vazamento dos dados pessoais no montante de R$15.000,00 para cada um dos titulares dos dados.


Ora, os dois casos mencionados poderiam ter tido um desfecho distinto se a postura das empresas, frente ao risco de ocorrência de incidente de segurança, tivesse sido diferente.


O que fazer para não ser responsabilizado?


De acordo com a LGPD, os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e situações acidentais ou ilícitas.


Esta determina ainda que, no caso de haver um efetivo vazamento de dados, as empresas devem estar preparadas para documentarem as suas medidas de segurança, adotadas com a finalidade de prevenir danos decorrentes deste vazamento.


Ademais, a normativa estabelece que qualquer suspeita de violação deve ser comunicada à Autoridade Nacional de Proteção de Dados e à sociedade em geral. Ainda que não haja confirmação do dano ou da extensão deste, a comunicação é necessária.


A punição para empresas que descumprirem a LGPD pode variar dependendo da gravidade da infração. As multas por não conformidade podem chegar a 2% do faturamento, limitadas a R$50 milhões. Além disso, as empresas podem ter suas atividades suspensas, parcial ou totalmente.


Ressalta-se a importância de se estabelecer requisitos de segurança da informação, ferramentas de proteção e regras sobre o uso de dispositivos pessoais.


O objetivo é reduzir as possibilidades de mau uso (intencional ou não intencional) da infraestrutura corporativa através dos dispositivos pessoais.


Tão importante quanto o investimento em cibersegurança, um acompanhamento jurídico especializado para direcionar as medidas técnicas exigidas pela LGPD é uma medida necessária, em complemento à conformidade documental e processual que a normativa também obriga.


Autor:

Carlos Eduardo Barreto Lopes.


Notas de Rodapé:

[1] O conceito de dado pessoal é bastante abrangente, sendo definido pela LGPD como sendo a “informação relacionada a pessoa identificada ou identificável”. Isso quer dizer que um dado é considerado pessoal quando ele permite a identificação, direta ou indireta, da pessoa natural por trás do dado, como por exemplo: nome, sobrenome, data de nascimento, documentos pessoais (como CPF, RG, CNH, Carteira de Trabalho, passaporte e título de eleitor), endereço residencial ou comercial, telefone, e-mail, cookies e endereço IP.


[2] Na sistemática prevista pela LGPD, o titular de dados é a pessoa natural a quem se referem os dados pessoais que são objeto de tratamento.


[3] G1. Entenda o escândalo de uso político de dados que derrubou valor do Facebook e o colocou na mira de autoridades. Disponível em: <https://g1.globo.com/economia/tecnologia/noticia/entenda-o-escandalo-de-uso-politico-de-dados-que-derrubou-valor-do-facebook-e-o-colocou-na-mira-de-autoridades.ghtml>. Acesso em: 31/07/2020.


[4] DE OLIVEIRA, Ricardo Alexandre. Lei geral de proteção de dados pessoais e seus impactos no ordenamento jurídico. Revista dos Tribunais. Vol. 998/2018, pp. 241 - 261, 2018.


[5] MPDFT. MPDFT ajuíza ação contra o Banco Inter por vazamento de dados pessoais. Disponível em: <https://www.mpdft.mp.br/portal/index.php/comunicacao-menu/sala-de-imprensa/noticias/noticias-2018/10211-mpdft-ajuiza-acao-contra-o-banco-inter-por-vazamento-de-dados-pessoais>. Acesso em: 31/07/2020.


[6] PERIM, Paula Abi-Chahine Yunes; CAOVILLA, Reneato; DUFLOTH, Rodrigo. O novo contencioso de dados pessoais: sua organização está preparada? Disponível em: <https://www.jota.info/opiniao-e-analise/artigos/o-novo-contencioso-de-dados-pessoais-sua-organizacao-esta-preparada-13102019>. Acesso em: 31/07/2020.


[7] INSTITUTO SIGILO. Vazamento de Dados - Natura - Anurag Sen. Disponível em: <https://sigilo.org.br/vazamento-de-dados-natura-anurag-sen/>. Acesso em: 31/07/2020.



Referências Bibliográficas:

BLOG BRASIL. BYOD e a segurança da informação nas pequenas e médias empresas. Disponível em: <https://blogbrasil.comstor.com/bid/340118/byod-e-a-seguran-a-da-informa-o-nas-pequenas-e-m-dias-empresas>. Acesso em: 31/07/2020.


CIO. Investimentos em segurança e gestão de riscos permanecerão positivos em 2020. Disponível em: <https://cio.com.br/investimentos-em-seguranca-e-gestao-de-riscos-permanecerao-positivos-em-2020/>. Acesso em: 31/07/2020.


DE OLIVEIRA, Ricardo Alexandre. Lei geral de proteção de dados pessoais e seus impactos no ordenamento jurídico. Revista dos Tribunais. Vol. 998/2018, pp. 241 - 261, 2018.


DONEDA, Danilo. Da privacidade à proteção de dados pessoais. São Paulo: Revista dos Tribunais, 2019.


G1. Entenda o escândalo de uso político de dados que derrubou valor do Facebook e o colocou na mira de autoridades. Disponível em: <https://g1.globo.com/economia/tecnologia/noticia/entenda-o-escandalo-de-uso-politico-de-dados-que-derrubou-valor-do-facebook-e-o-colocou-na-mira-de-autoridades.ghtml>. Acesso em: 31/07/2020.


INSTITUTO SIGILO. Vazamento de Dados - Natura - Anurag Sen. Disponível em: <https://sigilo.org.br/vazamento-de-dados-natura-anurag-sen/>. Acesso em: 31/07/2020.


MPDFT. MPDFT ajuíza ação contra o Banco Inter por vazamento de dados pessoais. Disponível em: <https://www.mpdft.mp.br/portal/index.php/comunicacao-menu/sala-de-imprensa/noticias/noticias-2018/10211-mpdft-ajuiza-acao-contra-o-banco-inter-por-vazamento-de-dados-pessoais>. Acesso em: 31/07/2020.


PEEK, Patrícia. Proteção de dados pessoais: Comentários à Lei n. 13.709/2018. São Paulo: Saraiva, 2019.


PERIM, Paula Abi-Chahine Yunes; CAOVILLA, Reneato; DUFLOTH, Rodrigo. O novo contencioso de dados pessoais: sua organização está preparada? Disponível em: <https://www.jota.info/opiniao-e-analise/artigos/o-novo-contencioso-de-dados-pessoais-sua-organizacao-esta-preparada-13102019>. Acesso em: 31/07/2020.

Advocatta - Empresa Júnior de Pesquisas em Direito

Universidade de Brasília - UnB

  • Facebook - Círculo Branco
  • Instagram - White Circle
  • LinkedIn - Círculo Branco