LGPD: Penalidades administrativas passarão a ser aplicadas em agosto de 2021

A Lei Geral de Proteção de Dados Pessoais nº 13.079 (“LGPD”) entrou em vigor em setembro de 2020, porém somente em agosto de 2021 as multas e sanções previstas na norma passarão a ter eficácia. O modelo adotado no Brasil tem semelhanças com o “GDPR”, “General Data Protection Regulation”, aplicado pela União Europeia, que traz dispositivos rígidos com vistas a combater crimes virtuais e afetar a forma como as empresas coletam e processam dados pessoais de usuários e clientes. 

Com a pretensão de dispor sobre o “tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural”, a LGPD traz uma série de exigências que podem refletir em todo e qualquer negócio; Nesse caso, é necessário compreender quem sofrerá seus maiores impactos.

Isso porque suas normas se aplicam a qualquer operação de tratamento de dados realizada por pessoa natural ou por pessoa jurídica de direito público ou privado, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados, desde que a operação de tratamento seja realizada no território nacional.

Para todos os efeitos, a lei define como dado pessoal toda e qualquer informação relacionada a pessoa natural identificada ou identificável, como por exemplo: nome, cpf, número de identidade, data de nascimento, etc. 

Além disso, torna mais severo o tratamento de dados pessoais sensíveis, assim entendidos como informações sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.

Ao dispor sobre as regras do tratamento de dados, a lei delimita o seu campo de ação como sendo: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração

Desse modo, qualquer coleta, recepção ou utilização de dados pessoais, inclusive por meio digital, já é suficiente para impor a abrangência da LGPD. 

As empresas, por sua vez, são tratadas como agentes de tratamento, divididos entre controlador e operador, assim definidos, respectivamente, como: “pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais” e “pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador”

Sendo assim, na qualidade de agentes de tratamento de dados, as empresas devem realizar um “processo de conformidade”, com o objetivo de minimizar riscos, como danos reputacionais ou materiais por violação à LGPD, para garantir a proteção dos dados pessoais tratados no contexto de suas atividades.  

Tal processo deve ser avaliado de acordo com cada operação e setor, podendo envolver a adequação da política de privacidade do site, revisão de contratos com fornecedores e prestadores de serviços, treinamento interno para colaboradores, plano de resposta a incidentes de segurança e a nomeação de um Data Protection Officer (“DPO”), que será encarregado e responsável pelo tratamento de dados pessoais na empresa.

A despeito dos efeitos das penalidades previstas na lei, a partir de 1º de agosto de 2021, controladores e operadores de dados pessoais que deixarem de observar as regras da LGPD ficarão sujeitos a sanções administrativas que podem variar entre advertências e multas pecuniárias (que podem chegar até a 2% do faturamento anual das empresas) ou até mesmo a suspensão e a proibição do tratamento de dados pessoais e a obrigatoriedade da publicação da infração. 

Assim, a depender do grau de maturidade da adequação aos termos da LGPD, as etapas de diagnóstico e implementação serão essenciais para quem precisa de um olhar minucioso e personalizado na parte jurídica e gestão de riscos para privacidade de dados. A obrigatoriedade da adaptação e conformidade aos preceitos da lei se torna, portanto, medida urgente.   

Para mais informações, entre em contato com a equipe do escritório.