1. Vazamento de dados pessoais. Como se proteger? A Lei nº 13.709/18, Lei Geral de Proteção de Dados Pessoais (LGPD) possui como uma de suas premissas a proteção ao vazamento de dados pessoais e, em seu artigo 47 determina que os agentes de tratamento (operador e controlador) devem adotar medidas de segurança, técnicas e administrativas […]
A Lei nº 13.709/18, Lei Geral de Proteção de Dados Pessoais (LGPD) possui como uma de suas premissas a proteção ao vazamento de dados pessoais e, em seu artigo 47 determina que os agentes de tratamento (operador e controlador) devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situação incidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.
Para que possamos tratar do assunto, cumpre ressaltar a definição de VAZAMENTO DE DADOS, que se trata de exposição de dados pessoais e/ou dados sensíveis a pessoas não autorizadas. Destacando que, a utilização dos dados para finalidade diversa à da coletada também pode ser enquadrada como vazamento dos dados.
Diante do cenário em que a Lei exige uma conduta de proteção dos dados tratados, importante ressaltar o que pode ocorrer caso haja o vazamento de tais dados. A LGPD determina que o controlador comunique a ANPD (Autoridade Nacional de Proteção de Dados) e ao titular dos dados acerca de eventual ocorrência de vazamento de dados que possa resultar em risco ao titular de dados.
Apesar de ser exigida a comunicação à ANPD e ao titular de dados sobre eventual ocorrência de incidente de segurança da informação, que tenha resultado em vazamento de dados, o controlador não é isento da responsabilização e penalidades previstas na LGPD.
Portanto, as empresas deverão instituir um procedimento eficiente que garanta que todos os dados pessoais tratados sejam apenas os necessários e que sejam utilizados de forma adequada, dentro da finalidade para os quais foram coletados.
A LGPD prevê que os agentes de tratamento devem adotar medidas de segurança aptas a proteger os dados pessoais e sensíveis, logo, o seu descumprimento, implica em algumas sanções.
As sanções previstas na LGPD podem ir desde advertência até multa que pode chegar a 2% do faturamento anual da empresa, limitada a R$ 50 milhões por cada infração cometida.
Seguem as penalidades previstas na LGPD:
1) Advertência;
2) Multa – até 2% do faturamento anual limitada a R$ 50 milhões POR INFRAÇÃO COMETIDA;
3) Publicização da infração;
4) Bloqueio dos dados pessoais a que se refere a infração;
5) Suspensão do banco de dados a que se refere a infração;
6) Suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração;
7) Proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
Tais sanções poderão ser aplicadas e serão definidas conforme a peculiaridade de cada infração e histórico do infrator, cabendo ao infrator/agente de tratamento comprovar que agiu de todas as formas possíveis para evitar esta ocorrência.
Portanto, não restam dúvidas de que a melhor forma de evitar as penalidades é a adequação da empresa com relação às regras trazidas pela LGPD, evidenciando à ANPD todas as medidas que foram instituídas pela empresa para a proteção dos dados tratados.
Quando se trata da adequação à LGPD, o primeiro ponto que nos remete é evitar as penalidades previstas na Lei, mas a adequação vai muito além disso e, iremos abordar algumas das vantagens trazidas pela adequação realizada de forma correta, vejamos:
1) Conscientização dos Colaboradores: uma das primeiras etapas do processo de implementação trata-se da conscientização, que trará a todos os colaboradores da empresa a consciência sobre a responsabilidade no tratamento dos dados pessoais e dados pessoais sensíveis;
2) Capacitação dos Colaboradores para Identificar Pontos de Maior e Menor Risco: para lutar contra um ponto de vulnerabilidade é primordial identificá-lo e conhecê-lo, podendo assim evitar ou minimizar cada um deles;
3) Controle de Acesso (Acesso restrito): como forma de proteção dos dados que são tratados pela empresa, é de extrema importância que os dados sejam entregues unicamente aos que irão tratá-los, ou seja, os dados devem ter acesso restrito, evitando a possibilidade de vazamento ou utilização inadequada;
4) Proteção dos Dados: a proteção dos dados pessoais e dados sensíveis é sem sombra de dúvidas o ponto mais importante abordado na LGPD e, deve ser o principal objetivo da adequação de sua empresa, porém, para que os dados sejam finalmente protegidos todos os itens anteriores devem ser observados, atingindo assim o objetivo final;
5) Credibilidade da empresa: a LGPD prevê além de outras penalidades, a publicidade dos atos praticados pelos agentes de tratamento, ou seja, uma falha da empresa pode resultar na perda de confiança de todos os titulares, clientes, fornecedores, associados, empregados, que possuem os dados tratados por aquela empresa e, na mesma linha, uma empresa que possui adequação à LGPD atrai a confiança dos seus parceiros, garantindo destaque negocial.
Por fim, em se falando de LGPD vale ressaltar que se trata de obrigação legal, devendo ser respeitada e o seu descumprimento implica em diversas penalidades para a empresa, como já vimos anteriormente, por esta razão, adequar-se à LGPD é garantir que a empresa esteja no caminho certo, garantindo sua credibilidade e permanência no mercado.
A LGPD possui o titular dos dados (pessoa natural titular dos dados) como ponto central de toda a proteção prevista, conferindo-lhe uma série de direitos e, dentre suas prerrogativas lhe foi garantido o livre acesso aos seus dados pessoais, ou seja, o titular tem o direito de obter uma cópia de seus dados pessoais tratados por determinada empresa.
Atualmente temos duas formas distintas de apresentação dos dados pessoais e dados pessoais sensíveis tratados, a primeira delas é de forma simplificada e a outra é por meio de uma declaração completa/detalhada.
Quando se fala em formato simples ou simplificado a LGPD fala em acesso IMEDIATO, ou seja, assim que o titular de dados faz a solicitação deverá ter acesso aos dados tratados.
Já o formato completo, a LGPD fixou o prazo de 15 (quinze) dias contados da data do requerimento do titular, além disso, a Lei descreve ainda que a declaração deverá ser clara e completa, contendo a origem dos dados, critérios utilizados e finalidade do tratamento.
Pode-se observar que os prazos são relativamente curtos para que a empresa apresente ao titular as informações requeridas e, para garantia deste retorno, a empresa deverá conter uma estrutura preparada, que possua clareza dos dados pessoais tratados, sua finalidade e bases legais, de modo que o titular de dados se sinta seguro e a empresa garanta sua conformidade com relação às regras de proteção de dados.
Ficou interessado e quer saber mais? Fique atento aos vídeos que serão publicados nos canais de comunicação do escritório Soares Picon Advogados e nos próximos artigos que vamos publicar sobre o tema proteção de dados.
