Infração à Lei de Proteção de Dados pode gerar multa de até R$ 50 mi

Publicado em
18 de Fevereiro de 2020
compartilhe em:

A menos de seis meses para que as novas regras para uso de informações pessoais passem a valer, muitas empresas ainda não começaram a se adaptar à regulamentação - principalmente as pequenas e médias

Vazamentos de informações pessoais estão entre as infrações mais comuns

Prevista para entrar em vigor em agosto, a Lei Geral de Proteção de Dados (LGPD), que estabelece regras sobre o uso de informações pessoais, prevê multas que podem chegar até R$ 50 milhões, em caso de vazamento ou mau uso de dados, por exemplo. No entanto, apesar das penalidades previstas e de faltar menos de seis meses para que a lei comece a valer, muitas empresas ainda não começaram a se adequar às novas regras.

"O desconhecimento dos empresários e gestores sobre essa lei é gigantesco, principalmente de empresas de pequeno e médio porte", diz Arthur Sampaio, advogado e consultor em proteção de dados da Authority, especializada em segurança e tecnologia da informação.


"Muitas empresas de grande porte já estão buscando conhecimento, mas nas demais o desconhecimento é total", diz o advogado sobre a necessidade das empresas se adequarem à nova lei.

A depender da infração cometida, a Autoridade Nacional de Proteção de Dados (ANPD), que será responsável pelo cumprimento da lei, poderá aplicar multas de até 2% do faturamento da empresa (com limite de R$ 50 milhões) e o bloqueio ou eliminação dos dados relacionados a uma infração.

Atualmente, a fiscalização e autuação por uso indevido de informações são feitas pelos órgãos de defesa do consumidor e pelo Ministério Público. E nenhuma lei prevê multas com valores tão elevados quanto às da LGPD.

"O que nós vemos é que muitas empresas não estão tratando adequadamente a segurança de dados. E nos chama atenção que as empresas do Nordeste e de Fortaleza não estão tão antenadas com a nova lei como as do Sul e Sudeste", diz Andrea Yunes, diretora administrativa Authority.

Além do vazamento de informações, a diretora destaca que cada vez mais aumentam os casos em que a empresa simplesmente "perde" dados dos clientes.

Impacto

A expectativa é que a nova regulamentação tenha um impacto nas relações comerciais e de consumo que demandam coleta de dados, sobretudo diante da crescente tendência de tratamento de dados pessoais de consumidores para traçar o perfil de consumo e condições financeiras de clientes. A lei se aplica a qualquer tipo de armazenamento, físico ou tecnológico, e a toda relação comercial.

Segundo a Federação Brasileira de Bancos (Febraban), as instituições financeiras também estão se movimentando para se adaptar às obrigações da LGPD. Entre as medidas neste sentido estão a nomeação de responsáveis pela proteção de dados, a obtenção de consentimento dos clientes para a utilização de seus dados em diversas finalidades, a atualização de documentos como contratos e políticas internas, a adequação de contratos com fornecedores e a processos para atendimento aos novos direitos dos clientes.

Segundo Sampaio, as infrações mais comuns envolvendo uso indevido de dados são os vazamentos de informações pessoais. "Não é só o vazamento online, mas em documentos físicos também. Às vezes, ocorre de um funcionário de uma empresa repassar dados para uma concorrente".

Para o advogado, é provável que a LGPD crie mais uma indústria de "danos morais" no País. "Além de ter o direito de denunciar o mau uso dos dados pela empresa, essa pessoa vai poder entrar com ação judicial pelo mau uso que a empresa faz, baseada na decisão da agência reguladora".

Dados pessoais

Segundo a norma, dados pessoais são informações que podem identificar alguém. Dentro do conceito, foi criada uma categoria chamada de "dado sensível": são informações sobre origem racial ou étnica, convicções religiosas, opiniões políticas, saúde ou vida sexual. Registros como esses passam a ter nível maior de proteção, para evitar formas de discriminação. A norma valerá para qualquer atividade que envolva utilização de dados pessoais, inclusive nos meios digitais, por pessoa natural ou jurídica, no Brasil ou em países onde estejam localizados os dados.

Ao coletar uma informação, as empresas deverão informar a finalidade. Se o usuário aceitar repassar seus dados, como ao concordar com termos e condições de um aplicativo, as companhias passam a ter o direito de tratar as informações, desde que respeitado o fim específico. A lei prevê ainda a garantia da segurança desses dados e a notificação do titular em caso de um incidente de segurança.

Já o titular poderá, por exemplo, solicitar os dados que a empresa tem sobre ele, questionar a quem foram repassados e com qual finalidade de uso. Caso os registros estejam incorretos, ele poderá cobrar a correção. E, em determinados casos, o titular poderá se opor a um tratamento. A lei também permitirá a revisão de decisões automatizadas tomadas com base no tratamento de dados, como as notas de crédito ou perfis de consumo.

Boletim Informativo Guia do TRC
Dicas, novidades e guias de transporte direto em sua caixa de entrada.