A Lei Geral de Proteção de Dados (LGPD) é para todos
Maria Cristina P. C. Velani e Luís
Gustavo Costa Velani
A Lei Geral de Proteção de dados (LGPD), Lei Federal nº 13.709, de 14 de
agosto de 2018, que estabeleceu princípios gerais de proteção, privacidade,
transparência e tratamento adequado de dados, representou um marco histórico na
regulação sobre tratamento de dados no Brasil.
Embora o
artigo 3º estabeleça a sua aplicação a
todas as organizações que realizam tratamento de dados pessoais para fins
econômicos, sejam elas públicas, privadas ou entidades do terceiro setor, no
início da sua vigência especulou-se quanto a sua aplicação às pequenas
empresas: deveriam se adequar? Seriam fiscalizadas e punidas?
No último dia 06 de julho foi publicada no Diário
Oficial da União a aplicação das primeiras multas administrativas pela
Autoridade Nacional de Proteção de Dados (ANPD). As penalidades foram impostas,
justamente, a uma microempresa, do setor de telemarketing, por três motivos: a)
ausência de comprovação de base legal para tratamento de dados pessoais,
conforme previsto no art. 7º, da LGPD; b) o não atendimento à ANPD no processo
administrativo, violando o art. 5º, da Resolução 1/21 (Regulamento do Processo
de Fiscalização da Autarquia); c) ausência de encarregado pelo tratamento de
dados pessoais, nos termos do Art.
41, da LGPD.
Pelas infrações foram
aplicadas multas, que totalizaram o valor de R$ 14.400,00 (quatorze mil e
quatrocentos reais), sendo o valor de cada multa limitado a 2% do faturamento
bruto da empresa, conforme disposto no art. 52, II, da LGPD, e advertência.
É importante ressaltar
que a LGPD, em seus artigos 18 e 45,
estabelece que a competência para
fiscalizar e punir casos do tipo não
será exclusiva da ANPD ou seja, além
desse órgão fiscalizador, também são competentes os organismos de defesa do consumidor
como o Departamento Estadual de
Proteção e Defesa do Consumidor (Procon),
a Secretaria Nacional do Consumidor (Senacon) e
o Ministério Público, que estão trabalhando incessantemente em
defesa dos direitos e garantias individuais dos titulares dos dados.
No âmbito judicial, mesmo antes de completar um ano de
vigência, menções à LGPD já constavam em mais de 600 decisões judiciais sobre
conflitos relacionados à proteção de dados pessoais.
As autuações na esfera
administrativa e as condenações em decisões judiciais, estão demonstrando que,
independentemente do tamanho e tipo (pública, privada ou terceiro setor), todas
as organizações brasileiras que tratam de dados devem cumprir as exigências
legais, implementando o programa de privacidade e proteção dos titulares de
dados.
Apesar das normas serem as mesmas para todas, as
organizações possuem particularidades. Assim, torna-se imprescindível a
implementação, por consultoria especializada, de programas específicos e
individualizados.
As organizações da área da saúde, como hospitais, clínicas, consultórios
e laboratórios, que tratam especialmente dados pessoais sensíveis (Art.11,
letra “f”, da LGPD), devem se acautelar ainda mais, pois muito além dos danos
patrimoniais, as sanções administrativas e condenações judiciais causarão danos
às suas reputações induzindo os titulares a buscarem outros serviços, idôneos e
confiáveis.
Maria
Cristina P. C. Velani (OAB/SP 92.373) e Luís Gustavo Costa Velani (OAB/SP
467.240) são advogados da assessoria jurídica da APM Rio Preto.