A criação da Lei Geral de Proteção de Dados (LGPD) visa aumentar o conhecimento das pessoas sobre suas informações pessoais presentes em bancos de dados institucionais e forçá-las a criar procedimentos de segurança para evitar problemas com os titulares das informações.
As empresas brasileiras que ainda não cumpriram a LGPD precisam se agilizar até agosto deste ano para evitar possíveis multas, que podem chegar a 50 milhões de reais, por não terem processado adequadamente os dados pessoais de clientes, funcionários e fornecedores.
Embora as penalidades ainda não tenham sido aplicadas, a lei já prevê a responsabilidade civil da empresa. Isso quer dizer que, desde setembro do ano passado, qualquer pessoa que tenha sido prejudicada durante o processamento de seus dados pessoais pode entrar com uma ação judicial com base na LGPD.
Foco em incidentes de segurança com dados pessoais
Com o aumento contínuo da digitalização das empresas causado pela epidemia de Covid-19 e a entrada em vigor da LGPD, o número de incidentes de dados pessoais não só aumentou, mas também ganhou maior visibilidade.
Além das multas pesadas, o vazamento de dados também gera outros problemas como má reputação da empresa e confiabilidade reduzida.
Conforme explicado no "Data Breach Report 2020", estudo conduzido pela IBM, as perdas e riscos relacionados a incidentes de segurança da informação aumentaram significativamente ao longo do tempo com o desenvolvimento da digitalização.
Os recentes incidentes mostraram a importância de se criar restrições e medidas de controle que possam impedir os hackers de agir. Mesmo assim, poucas empresas sequer deram os primeiros passos para exigir planos de resposta a incidentes, reportes e requisitos de segurança.
Nesse sentido, a lei prescreve as boas práticas que as empresas devem adotar para evitar as consequências. Alguns deles são: finalidade e adequação e exigência de transparência ao lidar com informações dos usuários.
O processo de gerenciamento de consentimento também é uma das práticas necessárias. O LGPD exige que os usuários conheçam a finalidade dos dados que fornece. Nas normas exigidas, o processamento de dados deve passar por um processo estabelecido de acordo com as normas de segurança.
Conhecimento para evitar multas
O artigo 52 da LGPD, que aborda as penalidades aos infratores, estabelece que o não cumprimeto às normas previstas na lei terá como resultado a execução de penas progressivas, que começam com uma advertência, chegando na suspensão da utilização de dados (o que, frequentemente, leva à suspensão total das atividades de uma empresa) e pagamento de multas altíssimas.
“Art. 52. Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas nesta Lei, ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional:
I – advertência, com indicação de prazo para adoção de medidas corretivas;
II – multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
III – multa diária, observado o limite total a que se refere o inciso II;
IV – publicização da infração após devidamente apurada e confirmada a sua ocorrência;
V – bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
VI – eliminação dos dados pessoais a que se refere a infração;
X – suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;
XI – suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período;
XII – proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
Pela LGPD, a empresa somente não será responsabilizada quando comprovar que:
I – que não realizou o tratamento de dados pessoais que estão sendo atribuído;
II – que, embora tenham realizado o tratamento de dados pessoais que lhes é atribuído, não houve violação à legislação de proteção de dados; ou
III – que o dano é decorrente de culpa exclusiva do titular dos dados ou de terceiro.”
Sendo assim, é fácil perceber que a legislação é muita complexa e qualquer negligência que coloque em risco os dados pessoais processados por uma empresa pode acarretar em multas e outros problemas graves. Por isso, o recomendado é sempre contar com a ajuda de advogados especializados para evitar riscos e sanções legais.
Comments