Por Agenor Getelina Junior, advogado na Machado Schütz & Heck Advogados Associados.
A Lei nº 13.709/2018 (Lei Geral de Proteção de Dados – LGPD), promulgada com o intuito de evitar o mau uso no tratamento dos dados pessoais, tem sido tema recorrente no mundo jurídico e corporativo.
Plenamente vigente desde 18.09.2020, a sua última barreira de implantação ocorreu no último dia 01.08.2021, quando começaram a valer as sanções administrativas por descumprimento da LGPD nas quais se incluem advertência, obrigação de divulgação do incidente, eliminação de dados pessoais, bloqueio, suspensão e/ou proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados pessoais, bem como a possibilidade de aplicações de multas, que poderão chegar ao valor limite de R$ 50 milhões por infração.
Claro, as sanções serão aplicadas após procedimento administrativo que possibilite a ampla defesa, de forma gradativa, isolada ou cumulativa, de acordo com as peculiaridades do caso concreto e se houve a adoção de boas práticas de governança e conformidade à LGPD.
Os vazamentos individuais ou os acessos não autorizados, poderão ser objeto de conciliação direta entre controlador e titular e, caso não haja acordo, o controlador estará sujeito à aplicação das penalidades referidas.
Portanto, a penalidade não é automática, bem como, ao menos nesse início, não se espera um extremo rigor por parte da Autoridade Nacional de Proteção de Dados – ANPD, órgão responsável pela fiscalização e aplicação das sanções nas hipóteses em que houver tratamento de dados em desconformidade com a LGPD[i].
As empresas precisam estar atentas, pois, sem prejuízo das sanções administrativas, hoje vigentes, existe a possibilidade do questionamento judicial pelo mau tratamento de dados pessoais, o que já vem ocorrendo, com nosso judiciário enfrentando questionamentos de cidadãos e associações de consumidores[ii].
Importante salientar que os diferentes agentes envolvidos no tratamento de dados — o controlador e o operador — podem ser solidariamente responsabilizados por incidentes de segurança da informação e/ou o uso indevido e não autorizado dos dados, ou pela não conformidade com a LGPD, inclusive, com inversão do ônus da prova a favor do titular dos dados quando, a seu juízo, for verossímil a alegação, houver hipossuficiência para fins de produção de prova ou quando a produção de prova pelo titular resultar-lhe excessivamente onerosa.
Somente não serão responsabilizados quando provarem não terem realizado o tratamento de dados que lhe é atribuído, ou lhe sendo atribuído, no exercício regular de direito (conformidade LGPD) ou culpa exclusiva do titular ou terceiro.
A LGDP não afeta somente os grandes conglomerados do setor de tecnologia e serviços on-line, mas também qualquer organização que realize uma operação de coleta, uso, processamento e armazenamento de dados pessoais, no âmbito de atividades de bancos, corretoras, seguradoras, clinicas médicas, hospitais, e-commerce, varejo, hotéis, companhias aéreas, agências de viagens, restaurantes, academias, farmácias, entre muitas outras, podem estar sujeitas à aplicação da lei, ainda que tais atividades ocorram exclusivamente fora do ambiente digital.
Portanto, se a sua organização ainda não se adequou à Lei Geral de Proteção de Dados, importante a busca pela adequação, para se resguardar de eventuais transtornos diante de um incidente de vazamento de dados pessoais de clientes, fornecedores ou colaboradores.