Quais as consequências da não conformidade à LGPD para as empresas?

Sancionada em agosto de 2018, a Lei  nº 13.709, conhecida como LGPD – Lei Geral de Proteção de Dados, tem sido tema de diversas discussões no âmbito jurídico e empresarial devido às necessidades de mudanças nos processos que envolvem o tratamento de dados pessoais. Inicialmente, parece algo simples. No entanto, há uma série de exigências que requerem atenção, investimento e conscientização dos profissionais para estarem em conformidade com as novas exigências legais.

A LGPD entrou em vigor no dia 18/09/2020, mas as sanções e eventuais multas só deverão ser aplicadas a partir de agosto de 2021. Até lá, cabe aos empresários conhecerem e adequarem seus processos. Entenda melhor sobre a LGPD e o que muda com a nova lei.

O que é a LGPD?

Como o próprio nome diz, a lei tem como principal objetivo a proteção dos dados pessoais aos quais a empresa tem acesso (como nome, número de documentos, telefones de contato etc) e os considerados dados pessoais sensíveis (como designações de gênero, raça, classe social, posicionamento político e credo religioso, além de informações biológicas, como dados genéticos, prontuários médicos, resultados de exames etc). Mas não é apenas isso, a empresa precisa garantir também a inviolabilidade desses dados, ou seja, é necessário adotar barreiras manuais e sistêmicas que impossibilitem o vazamento, compartilhamento e acesso não autorizado de tais informações.

De modo geral, a lei é pautada em alguns fundamentos básicos, que são o respeito à privacidade, garantia da liberdade de expressão, preservação dos direitos humanos, entre outros aspectos. Não estão sendo consideradas nessa lei o acesso aos dados para fins judiciais, acadêmicos, jornalísticos e artísticos, desde que respeitadas as devidas particularidades de suas atividades. Isso representa uma segurança à população, que terá mais confiança ao preencher um formulário cadastral, fazer uma compra on-line ou até mesmo realizar um exame médico.

Como funciona?

Conforme prevê a Lei, primeiramente, o tratamento de dados pessoais só poderá ser realizado mediante autorização do titular ou em casos específicos previstos no Capítulo II da lei. Isso significa que o usuário precisa estar ciente e autorizar o uso dos seus dados para determinados fins, como disparo de e-mail marketing ou envio de mala-direta, por exemplo.

Na prática, com a LGPD, a empresa será responsável pelo meio de coleta, armazenamento, processamento e utilização dos dados (pessoa física ou jurídica), mas, principalmente, pela mitigação dos riscos. Dessa forma, serão consideradas irregular, por exemplo, a comercialização de listas de contato (mailings) sem o prévio consentimento; o armazenamento de dados privados em uma planilha de Excel à qual todos os funcionários da empresa tenham acesso; o repasse ou confirmação de dados pessoais de clientes ou profissionais quando solicitados por terceiros (exceto com ordem judicial) ou até mesmo a ausência de mecanismos de proteção das informações.

No Capítulo VII, há informações sobre as medidas de segurança e boas práticas exigidas por meio da lei para evitar não conformidades legais. De modo geral, o texto apresenta teor instrutivo e está muito direcionado à adoção de medidas preventivas, como investimento em sistemas de informação e adoção de políticas de governança corporativa. A lei destaca também a responsabilidade no trato dessas informações, cabendo ao detentor das informações a obrigatoriedade de comunicar às autoridades públicas e ao titular eventuais casos de vazamento ou roubo de informações.

No Artigo 6º são descritos dez princípios que deverão ser observados no tratamento dos dados. São eles: finalidade, adequação, necessidade, livre acesso, quantidade dos dados, transparência, segurança, prevenção, não discriminação e responsabilização e prestação de contas.

Quais são as sanções administrativas aplicáveis?

As empresas que descumprirem a LGPD estarão sujeitas a sanções de acordo com a gravidade do caso. Em situações consideradas simples e passíveis de ajuste poderá ser aplicada advertência, com indicação de prazo para adoção de medidas corretivas. Mas, casos mais graves, podem resultar no pagamento de multas de até 2% (dois por cento) do faturamento da empresa, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada ao valor de R$ 50 milhões.

Também poderão ser aplicadas multas diárias, exigida a publicização da infração e determinado o bloqueio parcial ou total do acesso aos dados pessoais a que se refere a infração.

DICAS PARA IMPLANTAR NA SUA EMPRESA:

• Fazer um levantamento de todos os dados pessoais tratados na empresa (cadastro de clientes e funcionários, histórico de compras, pesquisas, contratos, processos jurídicos etc.);
• Identificar os mecanismos de acesso a essas informações e se há, ou precisam ser implantadas, barreiras que evitem o acesso por pessoas não autorizadas;
• Informar aos titulares para que serão utilizados e por quanto tempo;
• Conscientizar a equipe de trabalho sobre a responsabilidade individual e coletiva em relação aos dados aos quais têm acesso;
• Informar aos clientes sobre o tratamento dos dados e solicitar sua autorização; 
• Buscar mais informações a fim de garantir que sua empresa esteja em total conformidade com a lei.

Mantenha-se informado sobre este assunto e outras novidades e tendências da tecnologia para a área jurídica, associe-se e faça parte da nossa comunidade!

Você também pode acessar a aba “conteúdos” do nosso menu para ler outros artigos e notícias.