Diego Muñoz

Tag: LGPD

  • Proferida primeira decisão penalizando empresa com base a LGPD

    Proferida primeira decisão penalizando empresa com base a LGPD

    A LGDP – Lei Geral de Proteção de Dados, entrou efetivamente em vigor em 18 de setembro desse ano, após muitos impasses quanto a data de início da sua vigência.

    Essa lei, conforme disposição trazida em seu art. 1º, trata ‘sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e privacidade e o livre desenvolvimento da personalidade da pessoa natural’.  Ou seja, essa lei visa proteger o compartilhamento de dados do consumidor com empresas estranhas à relação contatual.

    Na referida lei há a figura da Autoridade Nacional de Proteção de Dados (ANPD), que é um órgão da administração pública, que tem como atribuição fiscalizar e implementar o cumprimento da LGPD.  Em que pese esse órgão ainda não ter sido criado pelo Governo Federal, os titulares do direito já podem valer-se da lei  e exigir o cumprimento das normas por ela trazidas.

    Primeira decisão aplicando a LDGP

    Nesse sentido, foi proferida a primeira decisão aplicando a LDGP e penalizando empresa que não protegeu os dados dos seus clientes.

    Tal decisão foi proferida pela 13ª Vara Cível de São Paulo, onde uma empresa do ramo imobiliário foi condenada a indenizar um cliente em R$10.000,00 (dez mil reais) por ter repassado as informações pessoais deste a outras empresas.

     Segundo os autos, o autor da demanda teria firmado um instrumento contratual para a compra de um apartamento de responsabilidade da Ré, oportunidade na qual ‘parceiros’ desta empresa que intermediou a venda do imóvel passaram a fornecer serviços diversos daquele prestado pela empresa contratada pelo cliente, dentre os quais instituições financeiras, empresas de decoração, etc., que citavam a recente compra realizada pelo autor no contato.

    Em sentença,

    A magistrada pontuou que houve ofensa à diversos dispositivos legais, dentre os quais a LGPD, bem como, houve violação ao Código de Defesa do Consumidor e à Constituição Federal sendo assim, nesse contexto, “os dados surgem como bens jurídicos tutelados pela ordem jurídica, porquanto relacionados a diversos outros direitos também fundamentas”.

    Ademais, segundo a magistrada, houve violação à proteção dos dados do autor e à sua finalidade específica informada ao seu titular (arts. 2º e 6º da LGPD), visto que o contrato firmado previa unicamente a possibilidade de inclusão dos dados para fins de inserção no Cadastro Positivo, inexistindo previsão de utilização destes para outros fins além da relação negocial firmada.

    Com essa decisão é importante observar que, muito embora tenha sido fundamentada com base nas normas e disposições previstas na LGDP, esta tem caráter meramente indenizatório à parte lesada, ante o efetivo descumprimento contratual. Não se trata de uma das sanções administrativas previstas na lei, as quais somente passarão a ser aplicadas em agosto do 2021.

    Decisão proferidas nos autos nº 1080233-94.2019.8.26.0100.

    Por Vania Elisa Cardoso

  • LGPD | O que é a Lei Geral de Proteção de Dados Pessoais?

    LGPD | O que é a Lei Geral de Proteção de Dados Pessoais?

    De compras on-line a redes sociais, de hospitais a bancos, de escolas a teatros, de hotéis a órgãos públicos, da publicidade à tecnologia: pode ter certeza, a Lei Geral de Proteção de Dados Pessoais (LGPD) afeta diferentes setores e serviços, e a todos nós brasileiras e brasileiros, seja no papel de indivíduo, empresa ou governo. Aqui, a gente te ajuda a entender os seus direitos como cidadão, ou suas obrigações, caso você seja responsável por bases de dados de pessoas.

    Para começar

    A LGPD é a lei nº 13.709, aprovada em agosto de 2018 e com vigência a partir de agosto de 2020. Para entender a importância do assunto, é necessário saber que a nova lei quer criar um cenário de segurança jurídica, com a padronização de normas e práticas, para promover a proteção, de forma igualitária e dentro do país e no mundo, aos dados pessoais de todo cidadão que esteja no Brasil. E, para que não haja confusão, a lei traz logo de cara o que são dados pessoais, define que há alguns desses dados sujeitos a cuidados ainda mais específicos, como os sensíveis e os sobre crianças e adolescentes, e que dados tratados tanto nos meios físicos como nos digitais estão sujeitos à regulação.

    A LGPD estabelece ainda que não importa se a sede de uma organização ou o centro de dados dela estão localizados no Brasil ou no exterior: se há o processamento de conteúdo de pessoas, brasileiras ou não, que estão no território nacional, a LGPD deve ser cumprida. Determina também que é permitido compartilhar dados com organismos internacionais e com outros países, desde que isso ocorra a partir de protocolos seguros e/ou para cumprir exigências legais.

    Consentimento

    Outro elemento essencial da LGPD é o consentir. Ou seja, o consentimento do cidadão é a base para que dados pessoais possam ser tratados. Mas há algumas exceções a isso. É possível tratar dados sem consentimento se isso for indispensável para: cumprir uma obrigação legal; executar política pública prevista em lei; realizar estudos via órgão de pesquisa; executar contratos; defender direitos em processo; preservar a vida e a integridade física de uma pessoa; tutelar ações feitas por profissionais das áreas da saúde ou sanitária; prevenir fraudes contra o titular; proteger o crédito; ou atender a um interesse legítimo, que não fira direitos fundamentais do cidadão.

    Automatização com autorização

    Por falar em direitos, é essencial saber que a lei traz várias garantias ao cidadão, que pode solicitar que dados sejam deletados, revogar um consentimento, transferir dados para outro fornecedor de serviços, entre outras ações. E o tratamento dos dados deve ser feito levando em conta alguns quesitos, como finalidade e necessidade, que devem ser previamente acertados e informados ao cidadão. Por exemplo, se a finalidade de um tratamento, feito exclusivamente de modo automatizado, for construir um perfil (pessoal, profissional, de consumo, de crédito), o indivíduo  deve ser informado que pode intervir, pedindo revisão desse procedimento feito por máquinas.

    ANPD e agentes de tratamento

    E tem mais. Para a lei a “pegar”, o país contará com a Autoridade Nacional de Proteção de Dados Pessoais, a ANPD. A instituição vai fiscalizar e, se a LGPD for descumprida, penalizar. Além disso, a ANPD terá, é claro, as tarefas de regular e de orientar, preventivamente, sobre como aplicar a lei. Cidadãos e organizações poderão colaborar com a autoridade.

    Mas não basta a ANPD – que está em formação – e é por isso que a Lei Geral de Proteção de Dados Pessoais também estipula os agentes de tratamento de dados e suas funções, nas organizações: tem o controlador, que toma as decisões sobre o tratamento; o operador, que realiza o tratamento, em nome do controlador; e o encarregado, que interage com cidadãos e autoridade nacional (e poderá ou não ser exigido, a depender do tipo ou porte da organização e do volume de dados tratados).

    Gestão em foco

    Há um outro item que não poderia ficar de fora: a administração de riscos e falhas. Isso quer dizer que quem gere base de dados pessoais terá que redigir normas de governança; adotar medidas preventivas de segurança; replicar boas práticas e certificações existentes no mercado. Terá ainda que elaborar planos de contingência; fazer auditorias; resolver incidentes com agilidade. Se ocorrer, por exemplo, um vazamento de dados, a ANPD e os indivíduos afetados devem ser imediatamente avisados. Vale lembrar que todos os agentes de tratamento sujeitam-se à lei. Isso significa que as organizações e as subcontratadas para tratar dados respondem em conjunto pelos danos causados. E as falhas de segurança podem gerar multas de até 2% do faturamento anual da organização no Brasil – e no limite de R$ 50 milhões por infração. A autoridade nacional fixará níveis de penalidade segundo a gravidade da falha. E enviará, é claro, alertas e orientações antes de aplicar sanções às organizações.

    Lei nº 13.709, 14/08/2018