LGPD – Lei Geral de Proteção de Dados

Unidade 5 - Responsabilidades Administrativas e Civil

Até aqui, você estudou o escopo da LGPD quanto à proteção de dados pessoais, visando assegurar a privacidade e garantir os direitos dos indivíduos, bem como a determinação dos deveres e responsabilidades que amarram a estrutura regulatória da Lei.

Assim, a infração de qualquer um dos direitos do cidadão e o não atendimento às responsabilidades abrem a possibilidade de uma sanção administrativa, responsabilização civil, além da imagem negativa que a organização pode ter perante a sociedade, decorrente da inadequada utilização ou proteção dos dados pessoais. Dessa forma, uma outra perspectiva da LGPD considera os possíveis incidentes que podem ocorrer, como no caso de vazamento de dados pessoais.

Essa questão é muito importante, pois, conforme você viu na primeira unidade, dados e informações circulam a todo momento, ocasionando cada vez mais casos de ataques cibernéticos às grandes empresas, uma vez que tais informações representam um valor alto e isso desperta os interesses de muitas pessoas e empresas com intenções duvidosas.

Assim, garantir a segurança das informações é garantir os direitos do cidadão. As empresas não são donas das nossas informações e estão apenas na posse delas, para o uso regulado, conforme os princípios da Lei.

Vazamento de Dados

O tratamento dos dados realizado pelas empresas deve acontecer da mesma forma que ocorre quando alugamos uma casa: não somos donos da propriedade e devemos fazer uso deste patrimônio, conforme a finalidade combinada, zelando pela integridade do imóvel. É nessa analogia que a LGPD estabelece a relação que a empresa deve ter com nossos dados pessoais e pessoais sensíveis.

No caso do comprometimento dessa segurança, nós, como titulares e partes mais fracas nas relações com as organizações, temos um prejuízo que muitas vezes pode ser irreparável.

Exemplo:

Imagine que dada organização detenha informações sensíveis de uma pessoa, por exemplo, o estado de saúde dela. Em dado momento, alguém circula essa informação nas redes sociais e expõe esse indivíduo perante outras pessoas. Ao tornar pública uma informação particular de alguém, viola-se o direito à privacidade da pessoa, podendo ocasionar constrangimentos e danos irreparáveis.

Um exemplo real do possível comprometimento da segurança foi uma determinada rede social que armazenou por muito tempo a senha dos usuários, utilizando-se de técnica totalmente insegura. E essa atitude poderia ter prejudicado a proteção da privacidade dos usuários, visto que um hacker poderia ter acessado o local de armazenamento das senhas e as informações pessoais contidas em seus perfis.

Portanto, a organização deve estar de acordo com as boas práticas, métodos e técnicas atuais de proteção dos nossos dados e informações e, caso ocorra algum incidente envolvendo dados pessoais, o art. 48 da LGPD define que:

O controlador deverá comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.

Essa comunicação é importante, pois permite que tanto a ANPD quanto o titular dos dados possam acompanhar o ocorrido. É uma atitude nobre, da mesma forma como ocorre, caso alguém bata em algum carro parado em um estacionamento e procure o dono para notificá-lo e reparar os danos.

O comunicado ou relatório de incidente deve conter a descrição dos envolvidos, quais dados foram afetados, como ocorreu o incidente, quem foram as pessoas impactadas, quais eram os mecanismos utilizados na prevenção a incidentes e o que está sendo feito para reparar o dano, conforme indica o parágrafo 1º ainda no artigo 48:

§ 1º A comunicação será feita em prazo razoável, conforme definido pela autoridade nacional, e deverá mencionar, no mínimo:

I - A descrição da natureza dos dados pessoais afetados;

II - As informações sobre os titulares envolvidos;

III - A indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial;

IV - Os riscos relacionados ao incidente;

V - Os motivos da demora, no caso de a comunicação não ter sido imediata; e

VI - As medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo.

Em resumo, esse relatório formaliza o ocorrido, permitindo que o órgão responsável avalie as ações que foram ou venham a ser tomadas, mensurando a eficácia e eficiência delas.

Sanções administrativas

Qualquer violação à LGPD, em especial no que se refere ao vazamento de dados pessoais, acidental ou ilícito, além de infringir os direitos do cidadão e prejudicar a imagem da organização perante a sociedade, traz consequências que a LGPD tipifica como sanções administrativas.

• Advertência - Apresenta indicação de prazo para adoção de medidas corretivas.

• Multa simples - Aplica multa de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil em seu último exercício, excluídos os tributos, limitada, no total, a R$50.000.000,00 (cinquenta milhões de reais) por infração.

• Multa diária - Aplica multa diária, observando o limite total a que se refere o item anterior.

• Publicização da infração - Torna a infração pública, após devidamente apurada e confirmada a sua ocorrência.

• Bloqueio dos Dados Pessoais - Bloqueia os dados pessoais referentes à infração até a sua regularização.

• Eliminação dos Dados Pessoais - Elimina os dados pessoais referentes à infração.

• Suspensão Parcial do Funcionamento do Banco de Dados - Suspende parcialmente o funcionamento do banco de dados a que se refere a infração, pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador.

• Suspensão do Exercício do Tratamento de Dados Pessoais - Suspende o exercício da atividade de tratamento dos dados pessoais a que se refere a infração, pelo período máximo de 6 (seis) meses, prorrogável por igual período.

• Proibição Parcial ou total do Exercício do Tratamento de Dados - A ANPD pode proibir, parcial ou totalmente, as atividades relacionadas ao tratamento de dados pessoais.

Compete à Autoridade Nacional de Proteção de Dados (ANPD) fiscalizar e aplicar sanções em caso de tratamento de dados realizado em descumprimento à legislação.

No caso de suspensão parcial de funcionamento do banco de dados e do exercício da atividade de tratamento dos dados pessoais, bem como proibição parcial ou total de atividades, essas sanções serão aplicadas:

• somente após já ter sido imposta ao menos 1 (uma) das sanções anteriores (advertência, multa, publicização, bloqueio e eliminação dos dados pessoais);

• no caso de controladores submetidos a outros órgãos e entidades com competências sancionatórias, após esses órgãos serem ouvidos.

A LGPD, no artigo 52, parágrafo 1º, determina também que as sanções devem ser aplicadas após procedimento administrativo que possibilite a oportunidade da ampla defesa, de acordo com as peculiaridades de cada caso, considerados os seguintes parâmetros e critérios:

• Gravidade e natureza das infrações e dos direitos pessoais afetados.

• Boa-fé do infrator.

• Vantagem obtida ou pretendida pelo infrator.

• Condição econômica do infrator.

• Reincidência.

• Grau do dano.

• Cooperação do infrator.

• Adoção de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados.

• Adoção de política de boas práticas e governança.

• Pronta adoção de medidas corretivas.

• Proporcionalidade entre a gravidade da falta e a intensidade da sanção.

Em relação ao cálculo do valor da sanção de multa, a ANPD poderá considerar o faturamento total da empresa ou grupo de empresas, quando:

• não dispuser do valor do faturamento no ramo de atividade empresarial em que ocorreu a infração; e

• o valor for apresentado de forma incompleta ou não for demonstrado de forma clara e confiável.

A autoridade nacional definirá, por meio de regulamento próprio e de consulta pública, sobre as sanções administrativas e as metodologias que orientarão o cálculo do valor-base das sanções de multas.

A LGPD prevê ainda que as metodologias sejam previamente publicadas, para ciência dos agentes de tratamento, e apresentem as formas e as medidas para o cálculo do valor das sanções de multa, que deverão conter fundamentação detalhada de todos os seus elementos.

Um artigo divulgado pela IBM aponta que as empresas brasileiras perdem aproximadamente R$4,7 milhões de reais com incidentes referentes a violações de dados em território nacional:

Artigo - IBM Comunica: Empresas brasileiras perdem mais de R$4.7 mi com vazamento de dados

“Estudo anual da IBM em parceria com o Instituto Ponemon, “Custos de Violação de Dados 2017”, mostra que houve um aumento histórico no número de incidentes provocados e nos custos gerados com violação de dados no Brasil. O valor total desembolsado para reparar as invasões foi de R$ 4.72 milhões. Em 2016, a quantia era de R$ 4.31 milhões. Para este levantamento, a companhia contou com a participação de 166 organizações de 12 diferentes segmentos e tomou como base os custos de 36 empresas.

De acordo com a pesquisa, os ataques maliciosos ainda são a principal causa da violação de dados, sendo responsáveis por 44% dos casos analisados, seguidos de falhas humanas, que incluem funcionários desatentos ou negligentes, que causaram 31% dos casos, e falhas nos sistemas, que representaram 25% do total. O estudo aponta que as empresas mais afetadas foram as voltadas para as indústrias de serviços, finanças e tecnologia, que registraram um custo per capita acima de R$246,00 para reparação de dados.

Quanto maior o número de registros roubados, mais alto é o custo da violação de dados. “Para se ter uma ideia, as companhias que tiveram vazamentos envolvendo menos de 10.000 registros tiveram um custo médio de R$2,07 milhões, enquanto as que tiveram 50.000 ocorrências comprometidas registraram um valor de R$6,73 milhões”, explica o Líder de Segurança da IBM Brasil, João Rocha.

De acordo com o executivo, o problema é o prejuízo que vai além da questão financeira. “Quando a reputação das empresas fica comprometida, muitas vezes a retratação pública se faz necessária e, em alguns casos, é preciso contratar uma consultoria em direito digital para garantir que os dados sejam devidamente recuperados”, afirma. O levantamento mostra que o custo médio do prejuízo que as companhias sofreram com a questão da reputação atingiu R$1,92 milhões.

O tempo é tudo

Um dos fatores que define o valor para reparar as violações é o tempo de identificação da invasão, pois quanto mais rápido o malware for detectado e contido, menos custos as empresas terão. Neste estudo, a média de tempo que as companhias demoraram para identificar uma invasão foi de 250 dias e cerca de 105 dias para conter o vazamento de dados, após a sua identificação. Caso o tempo de identificação fosse inferior a 100 dias, o custo médio para reconhecer uma violação seria de R$4.13 milhões. No entanto, se for superior a esse tempo, o valor subiria para R$5.30 milhões.

Como evitar as violações de dados?

O estudo aponta que investimentos em práticas de proteção de dados são muito importantes para reverter situações como essa. Rocha completa que é necessário ter um plano de resposta a incidentes, uso extensivo de criptografia, treinamento de colaboradores e compartilhamento de inteligência em ameaças para reduzir os custos per capita desses vazamentos. “Desde 2013, temos acompanhado um gráfico de boas práticas que devem ser implementadas pelas companhias. A criptografia, por exemplo, que representava somente 23% dos controles de segurança, agora representa 53% das medidas de prevenção”, conclui.”

Responsabilidade e ressarcimento de danos

Conforme você estudou, tanto o controlador quanto o operador são figuras centrais para assegurar a proteção dos dados pessoais. Portanto, diante das atribuições que lhes são conferidas, caso ocorra algum dano aos titulares em decorrência de algum incidente envolvendo o vazamento de dados, devem responder juridicamente e reparar os danos causados, conforme trata o artigo 42, parágrafo 1º da LGPD:

O controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo.

O operador responde solidariamente pelos danos causados pelo tratamento quando descumprir as obrigações da legislação de proteção de dados ou quando não tiver seguido as instruções lícitas do controlador, hipótese em que o operador equipara-se ao controlador;

Os controladores que estiverem diretamente envolvidos no tratamento do qual decorreram danos ao titular dos dados respondem solidariamente.

É interessante notar que a Lei acaba estreitando aqui a relação entre os titulares e as empresas, na figura dos agentes de tratamentos de dados. O texto legal busca, na definição e nomeação desses agentes, ampliar a rastreabilidade de um “responsável” por qualquer violação na privacidade do indivíduo. Dessa forma, evita-se o “empurra-empurra” entre as partes responsáveis e define-se logo de início quem serão essas pessoas.

A ideia é forçar, indiretamente, a adequação das organizações aos preceitos da Lei, visto que está claro quem serão as principais pessoas responsabilizadas, pressionando para que medidas preventivas e boas práticas de governança dos dados sejam sempre executadas.

Resumo Unidade 5

Nesta unidade, você estudou que o vazamento de dados, seja acidental ou ilícito, infringe os direitos do cidadão, prejudica a imagem da organização perante a sociedade e pode lhe trazer graves penalidades e prejuízos, desde uma advertência simples até a proibição total das atividades.

Você conheceu também a importância da atuação do controlador e do operador para assegurar a proteção dos dados pessoais, bem como suas responsabilidades em responder juridicamente e reparar os danos causados, caso ocorra algum prejuízo aos titulares, em decorrência de algum tratamento ilícito de dados.

Portanto, é imprescindível ressaltar que a proteção dos dados faça parte da missão estratégica das organizações, sendo pilar para suportar a crescente demanda pelo uso de dados pessoais.

O futuro como um dado

O futuro está lançado como um dado no tabuleiro. É assim que cresce a internet numa imensidão de dispositivos inteligentes, conectados, cada vez mais aprimorados que facilitam a nossa vida. São bilhões deles que estão nos pulsos (relógios), nas nossas salas (smart TVs, videogames, assistentes virtuais), nos nossos carros (centrais multimídia conectadas), nos bolsos (smartphones), enfim, em todos os lugares.

Juntos, eles criam um "raio-x" da sociedade em tempo real e despertam interesses legítimos ou mal-intencionados. São inúmeros casos de vazamentos de dados e informações que surgem a todo momento pelo mundo e devem nos lembrar dos riscos escondidos nas belezas e oportunidades incríveis que a internet proporciona à humanidade.

Nesse contexto, a LGPD veio para regular as relações entre pessoas e organizações, protegendo a privacidade do indivíduo em relação ao uso de suas informações, e como circulam pelo mercado, sejam elas físicas ou digitais.

Portanto, as organizações devem rever o planejamento estratégico de atividades relacionadas ao tratamento de dados, a fim de se adequarem às determinações da LGPD. A tabela a seguir apresenta algumas perguntas e respostas que sintetizam a ideia principal da Lei e auxiliam nesse planejamento:

O que será feito?

Deve ser realizada a adequação de todos os processos internos, no respeito à privacidade do indivíduo, quanto ao uso de dados pessoais e pessoais sensíveis.

Por quê?

A Lei busca regular o mercado e as relações entre pessoas e organizações, protegendo as partes mais vulneráveis nesta relação, que são as pessoas.

Onde?

Em todas as áreas de todas as organizações que, de alguma forma, tratam dados pessoais, no desenvolvimento de suas atividades.

Quando?

A Lei entrou em vigor em 18 de setembro de 2020, em que pese as sanções previstas valerem apenas a partir de agosto de 2021.

Por quem?

Existem 5 atores importantes neste contexto: o titular dos dados (indivíduo), os agentes de tratamento (operador e controlador), o encarregado e a ANPD, que é o órgão regulador.

Como?

O processo de adequação deve seguir a definição da Lei em todo o seu escopo. Cada organização deve refletir sobre o uso dos dados pessoais, perante os fundamentos da Lei, os direitos, deveres e responsabilidades.

Quanto vai custar?

A adequação na proteção da privacidade, com responsabilidade social e na prevenção de incidentes, deve ser considerada um investimento estratégico no posicionamento de mercado.

Além da adequação de todos os processos internos, tal contexto coloca todos nós, de um lado, como usuários comuns de produtos e serviços e, de outro, como colaboradores que integram o cenário corporativo e utilizam os dados de outras pessoas na execução de diversas atividades.

E que isso nos lembre de defender e proteger os dados de outras pessoas como se fossem os nossos próprios.

Caso o formulário não esteja aparente, utilize o link ECAP - Unidade 5 - LGPD Básico