Símbolo do Jus.com.br Jus.com.br

Os riscos enfrentados pelas empresas que não adotam as medidas de segurança previstas na LGPD

Agenda 16/09/2023 às 15:39

A famigerada Lei Geral de Proteção de Dados, conhecida pela sigla LGPD, prevê algumas obrigações que devem ser cumpridas atentamente, no que diz respeito à prevenção de incidentes com dados de pessoas.

Dentre essas obrigações, o art. 46 da lei prevê que toda empresa deve adotar medidas de segurança, tanto técnicas quanto gerenciais, que sejam aptas a proteger dados pessoais contra acessos não autorizados, bem como contra destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.

Ou seja, toda organização precisa adotar, de forma orgânica e vinculada à sua estrutura operacional, políticas, ferramentas e processos que se mostrem adequados para prevenir qualquer tipo de incidente, como vazamentos ou mesmo o tratamento incorreto de dados pessoais.

Entretanto, a mesma LGPD não delimita nem conceitua quais os tipos de medidas que devem ser adotadas. Essa omissão, ao mesmo tempo em que deixa margem de autonomia para que os próprios empresários definam como estruturar sua governança de dados, acaba gerando também insegurança do ponto de vista jurídico, pois a efetividade das medidas adotadas somente poderá ser averiguada no caso concreto.

Dito de outro modo, uma empresa que realiza tratamento de dados pessoais somente será considerada segura enquanto não ocorrerem “acessos não autorizados” ou não acontecerem os incidentes de “destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito”.

Assine a nossa newsletter! Seja o primeiro a receber nossas novidades exclusivas e recentes diretamente em sua caixa de entrada.
Publique seus artigos

Isso quer dizer, de alguma maneira, que o empresário saberá que suas medidas de segurança não eram eficazes, por exemplo, só depois que o incidente ocorrer, o que torna ainda mais necessário o gerenciamento dos riscos envolvidos. Afinal, como os riscos nunca poderão ser eliminados, mas precisam ser minimizados e gerenciados. Essa é a função das medidas de segurança da informação.

Até porque a LGPD também prevê explicitamente que “os agentes de tratamento ou qualquer outra pessoa que intervenha em uma das fases do tratamento obriga-se a garantir a segurança da informação prevista nesta Lei em relação aos dados pessoais, mesmo após o seu término” (art. 47).

Portanto, os riscos de segurança digital, longe de serem apenas uma questão ligada ao interesse interno da empresa (para evitar ataques financeiros, perdas de propriedade intelectual, interrupção de serviços etc.), passam a ser reforçados pela LGPD como obrigação junto ao próprio titular dos dados.

Até mesmo porque, além do tratamento irregular ter como consequência as sanções administrativas previstas na lei (multa, advertência etc.), a empresa que causar algum prejuízo, ao titular ou terceiro, por conta do tratamento irregular dos dados deverá responder pela indenização.

Assim sendo, a organização que não atuar em conformidade com a LGPD ou que não prover a devida segurança informacional poderá responder tanto perante a fiscalização (sanções administrativas) quanto perante aquele que for prejudicado (indenização judicial).

Justicia, a inteligência artificial do Jus Faça uma pergunta sobre este conteúdo:

Certamente, caberá ao empresário decidir qual o nível de risco a ser tolerado em relação às questões levantadas, mas não se pode negar o impacto negativo que o descumprimento da LGPD e das medidas de segurança podem trazer.

Gabriel B. Fortes, Advogado na área de proteção de dados e segurança digital do escritório Fortes Nasar Advogados. Pós-Graduado em Direito Digital e Compliance. MBA em Liderança Estratégica e Gestão Financeira. Mestre em Direito Constitucional. CPC-PD .

Sobre o autor
Gabriel Barroso Fortes

Advogado, Pós-Graduado em Direito Digital e Compliance, MBA em Liderança Estratégica e Gestão Financeira, Mestre em Direito Constitucional, Head da área de Proteção de Dados do escritório Fortes Nasar Advogados. CPC-PD ©

Informações sobre o texto

Este texto foi publicado diretamente pelos autores. Sua divulgação não depende de prévia aprovação pelo conselho editorial do site. Quando selecionados, os textos são divulgados na Revista Jus Navigandi

Publique seus artigos Compartilhe conhecimento e ganhe reconhecimento. É fácil e rápido!