Por Mariana Battochio Stuart
Sócia do Arruda Alvim & Thereza Alvim Advocacia e Consultoria Jurídica
A Lei Geral de Proteção de Dados (LGPD – Lei nº 13.709/2018) marcou um novo capítulo na defesa da privacidade e no controle do uso de informações pessoais no Brasil. Além de estabelecer diretrizes para o tratamento adequado dos dados, a norma instituiu um sistema de responsabilidade civil para os agentes que causarem prejuízos a terceiros. Entender como essa responsabilidade é aplicada tornou-se fundamental tanto para empresas quanto para os titulares dos dados.
A temática é de extrema relevância, pois a transição para uma economia eminentemente digital posicionou os dados pessoais como ativos de grande valor, cuja circulação é onipresente. Nesse cenário, o tratamento de informações por agentes públicos e privados acarreta riscos intrínsecos, em que falhas operacionais ou de segurança podem culminar em graves violações à privacidade e à imagem dos titulares de dados pessoais.
Para endereçar essa complexidade, a LGPD estabeleceu um novo marco regulatório que, além de ditar os princípios para o tratamento lícito, impôs um severo regime de responsabilização civil aos infratores.
Desta forma, a LGPD prescreve princípios e regras para o tratamento de dados pessoais, visando proteger direitos fundamentais como privacidade, liberdade e dignidade. É importante consignar que ela se aplica a qualquer operação com dados, ou seja, na coleta, no armazenamento e no compartilhamento, tanto no meio físico quanto digital.
A responsabilização civil por violação de dados pessoais ocorre quando houver uso inadequado de dados pessoais e a empresa ou profissional responsável pelo tratamento dos dados pode ser obrigado a indenizar o titular. Essa reparação pode envolver (i) danos materiais, quando ocorrer prejuízos financeiros; (ii) danos morais, nas hipóteses de violação da intimidade e (iii) danos coletivos, nos casos em que a repercussão for transindividual e afetar um número indeterminado de pessoas ou um grupo de pessoas.
Neste aspecto, importante lembrar que a LGPD prevê responsabilidade solidária entre controladores e operadores, ou seja, todos os envolvidos no tratamento podem ser responsabilizados.
Por esta razão, visando minimizar as hipóteses de risco de violação aos dados pessoais é fundamental a execução de iniciativas eficazes, como implementação de medidas de segurança como criptografia, controle de acesso e monitoramento constante. Além disso, é fundamental a garantia de transparência, informando claramente a finalidade da utilização dos dados.
A este respeito, é essencial que as organizações invistam e promovam treinamento de suas equipes, considerando que a conscientização é essencial para prevenir incidentes. De igual modo, é importante possuir um plano de resposta para o caso de eventual vazamento, pois agir rapidamente pode reduzir significativamente os impactos nocivos.
No que se refere as sanções e penalidades que podem ser aplicadas pelo descumprimento da LGPD, as violações podem gerar multa de até 2% do faturamento da empresa, estando limitadas a cinquenta milhões por infração. Ademais, pode ser aplicada suspensão ou bloqueio do uso de dados e a necessidade de publicização da infração, afetando negativamente a imagem da empresa.
A Autoridade Nacional de Proteção de Dados (ANPD) é o órgão responsável por garantir que a LGPD seja cumprida no Brasil. Sua atuação vai muito além de aplicar multas, vez que ela orienta, fiscaliza e promove a cultura de proteção de dados.
Ela atua em quatro frentes principais, quais sejam o monitoramento, que acompanha práticas de tratamento de dados e identifica riscos; a orientação, que divulga guias, boas práticas e recomendações para empresas; a prevenção, que solicita ajustes e planos de conformidade para evitar infrações e a repressão, responsável por aplicar sanções quando há descumprimento da LGPD.
Deste modo, quando uma infração é identificada, a ANPD pode instaurar um processo administrativo sancionador. Esse processo garante ampla defesa e segue etapas como lavratura de Auto de infração com descrição da conduta e base legal violada, a defesa no prazo de 10 dias úteis para manifestação. Importante constar que pode haver fase de instrução para análise de provas e realização de diligências antes da prolação de decisão aplicando alguma sanção, se cabível. Cabe destacar também a possibilidade da interposição de recurso contra a aplicação da sanção para eventual revisão pelo Conselho Diretor.
É aconselhável a instituição de políticas de privacidade claras, implementação de boas práticas, adoção de medidas técnicas e administrativas para proteger dados, bem como que se mantenha registros e documentação para demonstrar conformidade.
Nestes termos, a relevância das questões relacionadas à proteção de dados é acentuada na medida em que a proteção de dados pessoais não é apenas uma obrigação legal, ela representa atualmente um diferencial competitivo. Isto pois, empresas que demonstram cuidado com a privacidade conquistam confiança e evitam prejuízos financeiros e reputacionais, bem como para conquistar a confiança dos clientes.
