Eduardo Moises
A Lei Geral de Proteção de Dados (LGPD), aprovada em agosto de 2018 (Lei n° 13.709), definiu dados pessoais como qualquer informação relacionada à pessoa natural identificada ou identificável. Isso inclui dados como nome, e-mail, número do RG e do CPF, origem racial ou étnica, convicções religiosas e opiniões políticas, tendo como objetivo proteger os dados do cidadão e dar a ele maior controle sobre a coleta e utilização das suas informações.
Para isso, a lei estabelece as hipóteses em que o tratamento dos dados poderá ser feito, como por exemplo, mediante consentimento do titular das informações ou para o cumprimento de uma obrigação legal. Ao tratar dados pessoais, a empresa deve deixar clara a finalidade do uso dessas informações, sendo responsabilizada em caso de violações de segurança que comprometam a privacidade dos indivíduos.
A LGPD se aplica a todas as empresas de todos os setores da economia que realizem o tratamento de dados pessoais, independentemente do meio (físico ou digital), do país de sua sede ou do país onde estejam localizados os dados.
Em razão da pandemia da Covid-19, dado o crescimento do trabalho remoto, compras online e até mesmo os programas de fidelidade de consumidores, algumas empresas já atualizaram suas políticas de boas práticas englobando medidas de segurança cibernética em resposta às novas regras da legislação de proteção de dados. Entretanto, muitas empresas não estão preparadas e não têm regras compliance com a Lei Geral de Proteção de Dados brasileira.
O artigo 19 da LGPD prevê os seguintes direitos dos titulares de dados pessoais:
- a confirmação de existência do tratamento dos dados (confirmar se a empresa controladora ou operadora realiza o tratamento);
- o acesso aos dados pessoais (obter uma cópia de seus dados pessoais);
- direito à correção de dados pessoais incompletos, inexatos ou desatualizados;
- direito de pedir a anonimização, bloqueio ou eliminação, caso os dados pessoais tratados pela empresa se mostrem desnecessários, excessivos, ou ainda em desconformidade, caso não estejam sendo tratados para finalidades específicas ou o tratamento não seja justificável por nenhuma das dez bases legais; e
- portabilidade dos dados pessoais para outro fornecedor de serviço ou produto;
É direito do titular ainda, saber com quem os seus dados estão sendo compartilhados. O titular que verificar que a empresa não cumpriu com a LGPD, pode denunciar no site da ANPD, apresentando ao órgão uma petição contendo comprovação da apresentação de reclamação ao controlador não solucionada. Além de qualquer pessoa física, outros órgãos públicos e entes privados podem apresentar denúncia à ANPD, especialmente quando tratar de interesses coletivos, como, consumidores e empregados.
Caso constatada a violação à LGPD, haverá aplicação de sanção administrativa, cuja decisão está sujeita a recurso para o conselho diretor. As sanções administrativas previstas na LGPD começaram a vigir no ultimo dia 1º de agosto e segundo o artigo 52 da lei, poderão ser: advertência; multa simples, de até 2% (dois por cento) do faturamento (limitado 50 milhões reais); multa diária; publicização da infração apurada e comprovada; bloqueio dos dados pessoais até regularizar e eliminação dos dados pessoais.
No caso da aplicação de multa, se esta não for paga no prazo estabelecido, estará sujeita à inscrição em dívida ativa e execução fiscal pela União, com todas as consequências negativas conhecidas para os devedores de tributos federais. É aguardado um acréscimo da demanda da sociedade junto à ANPD, em razão da atuação intensa da fiscalização que foi iniciada tanto pela ANPD quanto pelos outros órgãos públicos e entidades de defesa de interesses coletivos.