Símbolo do Jus.com.br Jus.com.br

Pequenas e médias empresas e a adequação à Lei Geral de Proteção de Dados do Brasil, aliada às boas práticas baseadas na General Data Protection Regulation da União Europeia

Exibindo página 3 de 4

6. Consequências jurídicas da não adequação da LGPD das PMEs

As consequências jurídicas para as PME’s que não se adequarem à LGPD podem ser de multa de até 2% em cima do faturamento anual ou, no máximo, em R$50 milhões por infração. Mas há outras questões que, mesmo não sendo tão debatidas, podem influenciar nos negócios e prejudicar a empresa como um todo, como os problemas comerciais, visto que uma empresa que não cumpre a lei pode ter empecilhos com parceiros e clientes próximos. Isso acontece porque o consumidor final dos produtos e/ou serviços está cada vez mais criterioso, desconfiando de corporações que não contam com boas práticas internas.

O impacto com contatos internacionais será ainda mais severo, uma vez que, muitos países já estão em dia com o plano de proteção de dados. Podemos elencar também os riscos financeiros que, como observado na própria legislação, se tratam de uma penalidade mais grave para as empresas, que é a sansão aplicada de acordo com a violação ao que é previsto por lei. Entretanto, mesmo arcando com as sanções, não se adequar à LGPD pode trazer outros riscos financeiros, uma vez que pode impactar negativamente em todos os setores. Na perspectiva da governança, uma organização que não tem critérios de compliance pode vir a acabar com sua imagem e até mesmo falir.

Como dito em linhas volvidas, a penalidade com valores como os praticados na LGPD, que a princípio parecem exorbitantes e impraticáveis, já é uma realidade na Europa com a GDPR, onde ocorreu o caso da empresa Google, que foi multada pela CNIL por cinquenta milhões de euros por uso de dados pessoais. As consequências jurídicas da não adequação à LGPD estão expostas no Capítulo VIII, da fiscalização, Seção I – Das sanções administrativas. Dentre elas, destaca-se que, além das peculiaridades do caso concreto, deverá ser considerado também a boa-fé do infrator, a reincidência, a vantagem auferida ou pretendida e a cooperação do infrator. Entretanto, na base mesma desses argumentos, e por vezes se opondo a eles, a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados, a adoção de política de boas práticas e governança e a pronta adoção de medidas corretivas transmitem não só à Autoridade Nacional, mas também aos consumidores, que a empresa pretende proporcionar o máximo de segurança em seus produtos e/ou serviços.

Destaca-se que, da mesma forma que a ANPD observa as peculiaridades de cada caso, o processo de compliance à LGPD também deverá ser personalizado para cada empresa, não sendo possível uma receita genérica para todos os segmentos. Caberá as empresas aproveitarem dessa lacuna abstrata que a lei proporciona em seu início para buscarem na doutrina e na jurisprudência – que também estão, de certa maneira, em fase educacional acerca do tema – conceitos que se acomoda melhor ao mercado consumerista e econômico.


7. Potencial aumento de demandas judiciais envolvendo titulares e operadores de dados

A entrada em vigor da LGPD traz consigo algo que até então não era muito observado pelo senso comum, que é a importância de protegerem os seus dados pessoais, tendo em vista os riscos que a coleta, compartilhamento, tratamento e rastreio comportamental podem acarretar na vida de jovens, adultos, idosos e até mesmo crianças que já fazem uso de aparelhos eletrônicos. Outrossim, a conscientização das pessoas acerca do tema pode desenfrear uma disputa judiciária maçante, assim como já ocorre em outras searas consumeristas.

Nesse sentido, caberá às pequenas e médias empresas, que são maioria no país e não possuem grande capital para lidar com demandas que, em sua maioria, pretendem condenação em danos morais, pensar de forma estratégica para criar alternativas junto aos atores envolvidos – SENACON, Instituto Brasileiro de Defesa do Consumidor, Ministérios Públicos Federal e Estaduais, associações de defesa do consumidor, associações que tratem especificamente de proteção de dados, bem como a ANPD – possibilitando uma renovação nas políticas de defesa do consumidor sem que haja congestionamento judicial.

Soma-se a isso a necessidade de implementação de resolução de conflitos não só com sanções, mas também com atividades educacionais, acessíveis e gratuitas, experimentando métodos extrajudiciais e administrativos, como a conciliação e mediação.

Assine a nossa newsletter! Seja o primeiro a receber nossas novidades exclusivas e recentes diretamente em sua caixa de entrada.
Publique seus artigos

É interessante que os meios alternativos de solução de controvérsias sobre proteção de dados proporcionem não só o ressarcimento do consumidor ofendido, mas também sugestões de modificação dos procedimentos internos da empresa para que não se torne reincidente, evitando por exemplo a aplicação do artigo 52, V da LGPD. Ressalta-se que o intuito não é ferir o princípio da inafastabilidade da jurisdição, previsto no artigo 5º, inciso XXXV da Constituição Federal, prevendo a necessidade de exaurimento de procedimento administrativo para que se reconheça o direito previsto em lei, apenas evitar o congestionamento do judiciário e dar ao consumidor uma resposta célere e amigável que não precisa ser imposta por sentença judicial.

De modo geral, esses mecanismos alternativos são estabelecidos por órgãos regulatórios, como a ANPD, em parceria com o poder judiciário, seguindo os princípios do contraditório e ampla defesa para possibilitar a negociação, mas figurando como fiscalizador de casos repetitivos e não necessariamente exercendo a função de resolução de conflitos.

E, partindo dessa premissa e tendo em vista que a lei é abarcada pela inovação do Direito Virtual e não exclui ou condiciona o acesso à justiça, mas estimula a autocomposição, devemos ter a tecnologia como meio prático para evitar o excesso de judicialização, implementando meios consensuais céleres e acessíveis. Temos como exemplo prático, inclusive, a plataforma consumidor.gov.br, formalizada através do Decreto nº 8.573/2015 e alterada pelo Decreto nº 10.197/2020, que é uma ferramenta pública gratuita, que permite a interlocução direta entre consumidores e empresas para solução de conflitos de consumo pela internet, monitorada pela SENACON, Ministérios Públicos e da Justiça, Procons e Defensorias.

Haverá necessidade de se oferecer respostas rápidas e eficazes aos titulares de dados pessoais, colocando em evidência no mercado as empresas que preocupam-se em evitar os danos e/ou repará-los com agilidade, bem como os profissionais que atuam nas áreas do Direito e Tecnologia da Informação que buscam ideias inovadoras tal qual a lei criada.


8. O que as PME’s devem fazer em caso de vazamento de dados

No campo teórico, o artigo 46 da LGPD dispõe que é dever dos agentes de tratamento – ou qualquer outra pessoa que intervenha em uma das fases do tratamentoa adoção de medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.

Pensando nisso, é recomendado que haja restrições de acesso, treinamento de funcionários, boa infraestrutura de Tecnologia da Informação, backups periódicos, dados criptografados, sistemas de softwares confiáveis desde a fase de concepção do produto ou do serviço até a sua execução, bem como um Plano de Recuperação de Desastres (DRP — Disaster Recovery Plan).

Ademais, a ANPD precisa ser comunicada sobre o vazamento, conforme determina o Capítulo VII da LGDP que trata da Segurança e das boas práticas e, mais que isso, embora não seja uma exigência, mas à autoridade poderá dispor sobre padrões técnicos mínimos para tornar aplicáveis as medidas de segurança, considerados a natureza das informações tratadas, as características específicas do tratamento e o estado atual da tecnologia, especialmente no caso de dados pessoais sensíveis.

Embora a empresa esteja dentro dos padrões estabelecidos em lei, é importante saber lidar com possíveis incidentes, tendo em vista que os crimes virtuais vivem uma crescente devido a ampliação do mercado econômico digital.

Para que se mantenha um bom relacionamento com a ANPD e com os consumidores, o controlador deverá comunicar à Autoridade Nacional e ao titular dos dados a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante. A lei, contudo, em seu §1º do artigo 48 não indica qual o prazo razoável para que seja feita a comunicação, deixando a sua definição a cargo da Autoridade Nacional. Entretanto, sabe-se que a comunicação deverá mencionar, no mínimo: a descrição da natureza dos dados pessoais afetados; as informações sobre os titulares envolvidos; a indicação das medidas técnicas e de segurança utilizada para a proteção dos dados, observados os segredos comercial e industrial; os riscos relacionados ao incidente; os motivos da demora, no caso de a comunicação não ter sido imediata e as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo.

É competência da Autoridade Nacional verificar a gravidade do incidente e tomar medidas para salvaguardar os direitos dos titulares, bem como buscar a reversão e mitigação dos prejuízos. Outrossim, também ficará incumbida de avaliar eventuais medidas técnicas tomadas pela empresa, bem como os sistemas e estruturas utilizadas para o tratamento dos dados. Por isso nunca é demais ressaltar a importância de atender aos requisitos de segurança, aos padrões de boas práticas e de governança e aos princípios gerais previstos na lei e às demais normas regulamentares, conforme disposto no artigo 49 da LGPD.

Alinhados as essas diretrizes, o controlador e/ou operador que for considerado responsável pelo dano patrimonial, moral, individual ou coletivo após procedimento administrativo pautado nos princípios do contraditório e ampla defesa deverá ser obrigado a repará-lo nos parâmetros e critérios elencados no artigo 52 da LGPD. Portanto, é importante que se demonstre boa-fé, coopere com as autoridades competentes, adote políticas de boas práticas e governança, bem como mecanismos capazes de minimizar ou reparar os danos.

Por fim, além de se preocuparem com a responsabilidade solidária e o direito de regresso no ressarcimento dos danos, os agentes de tratamento devem se ater as exceções trazidas no artigo 43 da lei.

Art. 43. Os agentes de tratamento só não serão responsabilizados quando provarem:

I - que não realizaram o tratamento de dados pessoais que lhes é atribuído;

II - que, embora tenham realizado o tratamento de dados pessoais que lhes é atribuído, não houve violação à legislação de proteção de dados; ou

III - que o dano é decorrente de culpa exclusiva do titular dos dados ou de terceiro.

Por conseguinte, está cada vez mais importante a introdução de profissionais capacitados no ramo da Tecnologia da Informação e Direito Digital para resguardar a empresa e deixá-la em evidência não só à Autoridade Nacional, mas também aos consumidores e parceiros multinacionais que já estão mais avançados na adaptação imposta pela GDPR.


9. Conclusão

A Lei Geral de Proteção de dados LGPD vai trazer profundas transformações em matéria de proteção dos dados pessoais no Brasil, acarretando impactos para inúmeras empresas – de pequeno ou grande porte – e também para outras instituições, inclusive para a Administração Pública. Apesar da ampla vacância estabelecida – originalmente, de dezoito meses, depois na tentativa fracassada de postergar sua vacância pelo Governo do presidente Jair Messias Bolsonaro, através da MP 959/2020 que tentou estender o prazo para maio de 2021 para as vigências e agosto de 2021 para o início das aplicações de penalidades. O governo negociou inicialmente com o congresso uma data que atendia ambos os interesses: 31 de setembro de 2020. O cenário de crise política, econômica e sanitária que se ilustra o estado brasileiro, fez com que o Senado desfizesse o acordo com o governo, deixando a MP 959/2020 caducar, ou seja, não sendo convertida em lei, logo sua eficácia iniciou nos 15 dias uteis subsequentes, no caso, dia 18 de setembro de 2020, tento sido no mês posterior feito as nomeações para composição e regulamentação da ANPD para execução da LGPD já em 2020 e bem antes do acordado anteriormente entre governo e congresso.

Nessa direção de aplicação da LGDP já em 2020, levanta vários questionamentos sobre a adequação tanto do mercado quanto da administração pública a legislação aprovada em 2018. Outro ponto que chama atenção, é sobre a Autoridade Nacional de Proteção de Dados – ANPD, que foi composta por indicações do presidente Jair Messias Bolsonaro por cinco nomes, três deles, militares ligados à sua família, o que coloca em discussão a autonomia e parcialidade da ANPD.

Nesse contexto, baseamos este artigo nos modelos já utilizados na Europa com a GDPR e no que vem sendo considerado boas práticas de segurança da informação e de proteção de dados em todo mundo, como o framework Design by privacy.

Por fim, torna-se absolutamente relevante que as pequenas e médias empresas, assim como a administração pública, devem se adequar à nova legislação, não apenas para evitar penalidades, mas também para garantia da proteção dos dados pessoais, hoje com status de direitos fundamentais pelo ONU, promovendo maior segurança jurídica, proteção dos direitos dos titulares e correlação de forças no mercado.


Referências bibliográficas

BRASIL. Lei complementar n° 123, de 14 de dezembro de 2006. Institui o Estatuto Nacional da Microempresa e da Empresa de Pequeno Porte. Disponível em: <https://www.planalto.gov.br/ccivil_03/leis/lcp/lcp123.htm >. Acesso em: 10 de maio de 2020

BRASIL. Lei N°13.709 de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Disponível em: <https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm >. Acesso em: 10 de maio de 2020

ANPPD – Associação Nacional de Profissionais de Proteção de Dados. Pareceres Técnicos. Disponível em: <https://anppd.org/pareceres-tecnicos>. Acesso em: 10 de maio de 2020

CFA – Conselho Federal de Administração. Ancoras da Economia. Disponível em: <https://www.cfa.org.br/ancoras-daeconomia> Acesso em 10 de maio de 2020.

PRIVACY virtuoso. Privacy By Design . Disponível em: <https://privacyvirtuoso.com/privacy-design.php > Acesso em 10 de abril de 2020.

MORE IT. LGPD - Como as PMEs devem enxergar a adequação?. Disponível em: <https://www.youtube.com/watch?v=mYoD7S0mBGU> Acesso em 16 de abril de 2020.

CONJUR, Consultor Jurídico. Postergação da vigência da LGPD: um remédio necessário? Disponível em <https://www.conjur.com.br/2020-mai-01/direito-civil-atual-postergacao-vigencia-lei-geral-protecao-dados-remedio-necessario>. Acesso em 20 de junho de 2020.

CÂMARA dos deputados. Medidas Provisórias – Relatoria, obstrução e prazo final. Disponível em <https://www.camara.leg.br/internet/lideres/MedidasProvisorias.pdf>. Acesso em 20 de junho de 2020.

SEBRAE. Micro e pequenas empresas geram 27% do PIB do Brasil. Disponível em <https://www.sebrae.com.br/sites/PortalSebrae/ufs/mt/noticias/micro-e-pequenas-empresas-geram-27-do-pib-do-brasil,ad0fc70646467410VgnVCM2000003c74010aRCRD> Acesso em 10 de abril de 2020.

CNIL. The CNIL’s restricted committee imposes a financial penalty of 50 Million euros against GOOGLE LLC. Disponível em: <https://www.cnil.fr/en/cnils-restricted-committee-imposes-financial-penalty-50-million-euros-against-google-llc> Acesso em 20/06/2020.

FOLHA. França multa Google em 50 milhões de euros por uso de dados pessoais. Disponível em <https://www1.folha.uol.com.br/mercado/2019/01/franca-multa-google-em-50-milhoes-de-euros-por-uso-de-dados-pessoais.shtml > Acesso em 20/06/2020.

Congresso de proteção de dados. Os princípios do Privacy by designer. Disponível em:<https://www.congressodeprotecaodedados.com.br/2019/ppt2019/2.1_PPT_WKS_%20PRIVACY%20AND%20SECUTIRY.pdf > Acesso em 20/06/2020.

BRASIL, Decreto nº 10.474. Aprova a Estrutura Regimental e o Quadro Demonstrativo dos Cargos em Comissão e das Funções de Confiança da Autoridade Nacional de Proteção de Dados e remaneja e transforma cargos em comissão e funções de confiança. Disponível em: <https://www.planalto.gov.br/ccivil_03/_ato2019-2022/2020/decreto/D10474.htm> Acesso em 20/10/2020.

California Legislative Information. California Consumer Privacy Act. Disponível em <https://leginfo.legislature.ca.gov/faces/codes_displayText.xhtml?division=3.&part=4.&lawCode=CIV&title=1.81.5 > Acesso em 20/10/2020.

Intersoft Consulting. General Data Protection Regulation GDPR. Disponível em: <https://gdpr-info.eu/ > Acesso em 20/10/2020.

TERMS Feeds. Privacy by Design. Disponível em: <https://www.termsfeed.com/blog/privacy-design/ > Acesso em 01/11/2020.

Brasil, Congresso. Inteiro teor PEC 17 Proposta de Emenda à Constituição. Disponível em:<https://www.camara.leg.br/proposicoesWeb/fichadetramitacao?idProposicao=2210757 > Acesso em 01/11/2020.

XPOSITIUM. Ciclo de Vida dos Dados e LGPD. Disponível em: <https://www.xpositum.com.br/ciclo-de-vida-dos-dados-e-lgpd > Acesso em 01/11/2020.

Sobre os autores
Andrew Carl Diniz Benzaquen

Sou Advogado e tenho formação e vivência na área de Tecnologia. Possuo experiência com Gestão de equipes de Suporte Técnico e de Advogados, tanho facilidade com sustentação de processos de gerenciamento de serviços de TI, habilidade em adequação de boas práticas, normas, regulamentos, modelos de gestão e conformidades. No presente, estou como Coordenador da Assessoria Jurídica da Educação em Contagem, onde liderei a transformação digital do setor, mapeando e diagnosticando todos os processos que eram atinentes a AJ, em seguida, estimulei a equipe a produzir de forma colaborativa e ágil o desenho com alinhamento dos fluxos e construção dos procedimentos operacionais padrões (POP) para garantir o princípio da continuidade do serviço público e da eficiência. Com a transição de toda tramitação para o digital, conseguimos elencar indicadores de KPI e OKR para relacionados a governança corporativa, de posse desses indicadores conseguimos extrair o máximo de inputs da AJ descobrindo nossos pontos fortes e principalmente nossas fraquezas. Com isso criamos mecanismo de mitigação de erros e atuamos de forma transversal com outros setores para criar um Programa de Integridade, com controle interno e formações continuadas para os servidores. Implementei no setor rotinas com cronograma para períodos de planejamento, formação, entregas e balanço dos resultados, potencializando nossas entregas cada vez com mais qualidade e eficiência para gestão pública. Sou especialista em proteção de dados, e atualmente estou fazendo duas pós graduações, uma em Gestão de Risco e Compliance e outra em Direito Administrativo Focado na nova Lei de Licitações. Componho as fileiras de membros da Associação Nacional de Advogadas(os) de Direito Digital - ANADD® e do Comitê Jurídico Associação Nacional de Profissionais de Privacidade de Dados - ANPPD®. Durante a graduação de Direito, participei de várias atividades acadêmicas acerca do direito digital, em especial da proteção de dados, área que continuo estudando e atuando, consoante as transformações derivadas da mesma.

Natasha de Souza Mendonça

Acadêmica do 10° período do curso de Direito do Centro Universitário UNA Contagem.

Informações sobre o texto

Este texto foi publicado diretamente pelos autores. Sua divulgação não depende de prévia aprovação pelo conselho editorial do site. Quando selecionados, os textos são divulgados na Revista Jus Navigandi

Mais informações

Trabalho de Conclusão de Curso apresentado na Disciplina de TCC II, no Centro Universitário UNA, como requisito básico para a obtenção dos créditos na referida disciplina. Orientador: Dr. Allan Duarte Milagres Lopes.

Publique seus artigos Compartilhe conhecimento e ganhe reconhecimento. É fácil e rápido!