Entrou em vigor a parte da Lei Geral de Proteção de Dados Pessoais (LGPD) que trata das punições. Agora, toda a lei está em plena vigência. Desde advertência, com determinação de correção de erros, passando por multas milionárias que podem ser até diárias, a LGPD estabelece uma série de possíveis sanções para infrações à Lei.
Importante lembrar, nesse momento de início de vigência de punições, que não apenas as atividades concretas que causam vazamentos de dados ou destruição total ou parcial de dados são infrações à Lei. A inércia, a omissão, a falta de condutas pró-ativas em defesa dos dados e da segurança da informação, também podem ser consideradas infrações e, portanto, gerar as multas e demais punições.
Dentre as punições, chama atenção o possível prejuízo à reputação da empresa. Isso porque o inciso IV do artigo 52 da LGPD criou a punição de publicização da infração. Ou seja, a empresa terá notícias oficiais de que violou a lei, de que expôs dados de seus clientes, parceiros e funcionários, ou que transferiu dados para terceiros sem consentimento ou base legal para essa transferência.
O prejuízo à reputação prejudicará tanto as relações com empresas parceiras que tendem a querer se relacionar apenas com quem está “bem na foto”, quanto com consumidores, em inegável tendência de aumento de conscientização e de senso crítico.
A atuação, portanto, da empresa que quer ter e manter boa reputação passa por adequada construção de política de gestão de riscos, de segurança de informação, estabelecendo treinamentos adequados, refazendo e criando novos instrumentos contratuais, com clareza na gestão de processos internos de gestão das informações das pessoas naturais. Claro que toda empresa tem que construir as medidas e analisar os riscos em coerência com as atividades que desenvolve e com o tamanho que possui.
Além da Autoridade Nacional de Proteção de Dados, responsável pela fiscalização e aplicação dessas sanções previstas na LGPD, os PROCON’s já têm fiscalizado e aplicado, quando cabíveis, as punições estabelecidas no Código de Defesa do Consumidor. Da mesma forma, as sanções do CDC podem ser multa (de até R$ 6 milhões), cassação de licença do estabelecimento ou de atividade, interdição, total ou parcial, de estabelecimento, de obra ou de atividade, suspensão temporária de atividade, entre outras.
Não bastassem as punições administrativas, os prejuízos causados por lesões a direitos e interesses jurídicos relacionados aos dados pessoais, à privacidade e à segurança da informação podem gerar ações indenizatórias propostas por consumidores, funcionários e parceiros. Caso em que, de novo, há prejuízo à reputação da empresa.
E também aqui, no campo da chamada responsabilidade civil, as formas de defesa das empresas estão definidas na LGPD que somente não responderão se conseguirem provar uma das alternativas prevista na própria Lei: que não realizaram as atividades de tratamento de dados que geraram os prejuízos mencionados; ou que, realizaram as atividades, mas não violaram a Lei, com adoção de medidas adequadas a promover ativamente a segurança da informação; ou, ainda, que os danos foram causados por exclusiva conduta do próprio titular de dados ou de terceiro. Começou, de vez, o jogo!
Flávio Caetano de Paula Maimone
Advogado especialista em Direito do Consumidor, sócio do Escritório de advocacia e consultoria Caetano de Paula & Spigai | Mestre em Direito Negocial na Universidade Estadual de Londrina (UEL). Diretor do Instituto Brasileiro de Política e Direito do Consumidor (BRASILCON). Professor convidado de Pós Graduação em Direito da UEL. @flaviohcpaula
Foto de Fernando Arcos no Pexels
