As empresas que não informarem adequadamente os consumidores para que seus dados pessoais são usados, com quem são compartilhados e que não tiverem as ferramentas adequadas de proteção para essas informações poderão ser punidas com multa. Descumprir a Lei Geral de Proteção de Dados (LGPD) pode custar caro.
Segundo as regras divulgadas esta semana pela Autoridade Nacional de Proteção de Dados (ANPD), a penalidade pode chegar a 2% do faturamento da empresa por infração, a multa diária pode chegar a R$ 50 milhões. A punição pode culminar com a proibição parcial ou total de tratamento de dados, o que pode inviabilizar um negócio.
- ‘Dinheiro esquecido’: Banco Central registra 15 milhões de consultas e maioria não tem saldo para saque
- Bolsa Família: Governo exclui 400 mil beneficiários registrados como família de uma pessoa só
Para os especialistas, no entanto, assim como aconteceu com o Código de Defesa do Consumidor (CDC), quando foi promulgado em 1990, muitas empresas ainda resistem à LGPD, que entrou em vigor em setembro de 2020, na esperança de que não vá “pegar”. Mas a possibilidade de multa, avaliam, deve turbinar a velocidade de implementação da lei.
No entanto, é o consumidor que pode pisar no acelerador de fato dessa incorporação ao entender a importância dos dados pessoais, conhecer as garantias dadas pela lei e cobrar as empresas, assim como aconteceu com o CDC.
— O aculturamento da sociedade brasileira é o grande desafio. Não conseguimos estar em todos os lugares. Não estamos jogando a responsabilidade sobre o consumidor, mas ele será fundamental para que as empresas entendam a proteção de dados como diferencial competitivo e também para apontar onde a lei ainda não foi implementada — diz Fabrício Lopes, coordenador geral de Fiscalização da ANPD.
- ‘Títulos de aposentadoria’: investimento em renda extra para a previdência passa de R$ 200 milhões
Entenda a importância das informações coletadas pelas empresas e saiba se está havendo abuso e como denunciá-lo.
O que são dados pessoais
Nome, endereço, telefone, identidade, CPF, tudo o que possibilite a sua identificação é considerado dado pessoal. Há ainda os dados considerados sensíveis, como raça, religião, orientação sexual, convicção política, informação de saúde. Para esses dados é exigido um tratamento mais restrito e cuidadoso, diante do risco que suscitam de discriminação.
Entenda os riscos
O uso de dados por criminosos se passando por você, o acesso a contas correntes, cartões de crédito, invasão de redes sociais, perda de privacidade são alguns dos riscos de não haver proteção adequada das informações pessoais.
Mas num mundo dominado pela inteligência artificial, pontua Christian Perrone, head de Direito & Tecnologia e GovTech do Instituto de Tecnologia e Sociedade (ITS), a análise de informações incorretas a seu respeito ou de dados que você desconhece que estão disponíveis pode ser a razão de um cidadão não ser convocado para uma entrevista de emprego e até justificar uma negativa de crédito. Por isso é tão importante saber a quem ceder seus dados e como são tratados.
— A gente deve entregar o mínimo de dados. Não se sabe como vai ser usado no horizonte temporal — pondera.
O que é a LGPD
A LGPD cria regras para a coleta, o uso e o compartilhamento de dados pessoais. A lei garante ao titular de dados o direito de saber que informações são coletadas e como são usadas. Entre outras coisas, a lei determina exclusão de informações de banco de dados a pedido do titular.
Pela legislação, só podem ser coletados pelas empresas dados fundamentais para a realização da sua atividade e há necessidade de consentimento para a inclusão de informações adicionais. Assim como o CDC, a LGPD traz princípios de transparência e responsabilidade.
A quem ela se aplica
A LGPD é horizontal. Ou seja, se aplica a qualquer um que colete e armazene dados pessoais independente do tamanho da empresa ou segmento. Estão sob a lei do grande banco à lojinha de bairro, da start-up às operadoras de telecomunicações, dos órgãos governamentais ao grande condomínio que exige cadastro para controle da entrada.
Qual é a finalidade
Para que você precisa dessa informação? Segundo Pedro Martins, coordenador acadêmico da Data Privacy Brasil Ensino, essa é a pergunta primordial. Se a empresa não souber te informar, ligue o sinal de alerta. Por exemplo, não é preciso informar endereço na loja, se não há entrega, não é obrigatório dizer o CPF na boca do caixa no varejo.
- Governo tem pressa: Nova regra fiscal vai usar PIB per capita como referência para despesa
O que observar
Além de exigir informação sobre a finalidade do dado, Patrícia Peck, sócia-fundadora do Peck Advogados, conselheira Titular do Conselho Nacional de Proteção de Dados, recomenda que nas lojas físicas verifique se há informação ostensiva sobre gravação de voz e imagem, quando houver câmeras. No ambiente digital, veja se o site ou app tem uma política de privacidade e termos de uso atualizado.
Como se informar
O consumidor que quiser obter informações sobre os seus dados deve acionar empresa via canal com DPO, sigla em inglês que designa o encarregado de dados, geralmente disponível na área do “Fale Conosco”, “SAC” ou “Portal de Privacidade”, orienta Patrícia. A empresa tem, em princípio, o prazo de até 15 dias para responder.
A quem reclamar
Se a empresa não responder o consumidor, se a resposta for insatisfatória ou se identificar indícios de irregularidade a orientação é acionar a ANPD (bit.ly/3mqqGh8) . No entanto, para obter uma solução individual o ideal é recorrer aos Procons. Em casos de serviços regulados, pode-se registrar ainda queixa no órgão regulador como Banco Central, Anatel, ANS. Sempre é possível também recorrer à Justiça.
Problema mais recorrente
Segundo Lopes, da ANPD, o que é mais observado na fiscalização é a falta de uma análise de quais dados de fato a empresa precisa para sua atividade. Ele pontua que muitas ainda têm a mentalidade de que quantos mais dados melhor e coletam informações que não precisam, aumentando a sua exposição a risco, assim como a de seus consumidores.
- Danos Morais: MPF abre ação contra vereador e pede indenização de R$ 250 mil por ofensas a trabalhadores resgatados no RS
As punições
A ANPD já fiscalizava a implementação da lei e já há oito processos sancionatórios que aguardavam o regulamento para avaliação de aplicação de multa. Pelo regulamento as punições vão de advertência, passando por multa simples de até 2% de faturamento da empresa, limitada, no total, a R$ 50 milhões por infração; multa diária de até R$ 50 milhões, até a bloqueio ou eliminação dos dados tratados.
A medida mais drástica, fora as pecuniárias, é a proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados o que pode inviabilizar a empresa.
- Com resultado do PIB, Haddad e Tebet cobram corte de juros: Lula diz que país não cresceu 'nada' no último trimestre
As multas podem ser atenuadas ou agravadas de acordo com a conduta da empresa. Lopes explica que se houver boa-fé, solução rápida, por exemplo, pode ser atenuante. Mas a reincidência pode levar a multa a aumentar em até 90%. Com exceção das multas, as sanções podem ser aplicadas ao poder público.
O desafio das empresas
A advogada Vivian Azevedo, sócia responsável pela área de Proteção de Dados do Bhering Cabral Advogado, diz que muitas empresas reclamam da necessidade de investimentos em equipamento e softwares para se adequarem à LGPD. Mas o maior desafio, afirma, é a mudança de cultura:
— O mais importante é a cultura da empresa. Sem isso, nada funciona.
Martins, da Data Privacy Brasil Ensino, diz que há uma enorme lacuna no varejo:
— Mesmo em grandes redes, que têm um processo de LGPD, a informação não chega na ponta. O vendedor não sabe dizer ao cliente porque precisa do dado e se é obrigatório. O importante é não se sentir constrangido a informar.