As sanções previstas a quem descumprir a Lei Geral de Proteção de Dados (LGPD) devem começar a valer em 2023. No momento, falta a conclusão do processo de regulamentação da LGPD que dará sustentação jurídica para a atuação da Agência Nacional de Proteção de Dados (ANPD), responsável pela fiscalização, na autuação dos infratores.
Mas há motivos para as empresas se preocuparem? A resposta é: não. Mas isso desde que as organizações consigam gerenciar e proteger os dados pessoais sob sua responsabilidade de forma eficiente e estratégica. Este é o segredo para fugir de penalidades e de problemas envolvendo, por exemplo, vazamento de dados.
Nesse sentido, vale mencionar que, ainda que a ANPD não tenha iniciado o processo de autuação nos últimos anos, a Autoridade investiu no processo educativo dos agentes de tratamento, participando de diversos eventos, publicando guias orientativos, bem como promovendo tomada de subsídios e consultas públicas sobre temas a serem regulados, incluindo-se as regras e premissas para aplicação das sanções previstas na LGPD.
“Falta ser redigido e aprovado pela ANPD documento normativo regulamentando a dosimetria das multas. Enquanto ele não for publicado, a ANPD não poderá aplicar multas, pois é indispensável que se definam previamente as metodologias e os critérios de cálculo do valor-base das multas”, informa o advogado especializado em proteção de dados pessoais e segurança da informação, Roberto Braga.
As sanções vão de advertência e multas, podendo ainda chegar à proibição parcial ou total das atividades relacionadas ao tratamento de dados, segundo o sócio-coordenador de Direito Digital e Proteção de Dados Pessoais no Serur Advogados, Fabricio da Mota Alves.
“As multas não serão as únicas punições, mas são, sem dúvida, as mais conhecidas. No caso da LGPD, a lei estabelece que podem chegar a 2% sobre faturamento das empresas, valor este limitado a R$ 50 milhões por infração”
Alves explica ainda que as penalidades poderão ser aplicadas em caso de infrações médias e graves, principalmente. Porém, não se limitam a isso. “Podem ser aplicadas sobre empresas que não colaborem com as investigações e que cometam irregularidades propositalmente, que afetem direitos relevantes do titular, que tratem dados sensíveis e que repercutam em alto risco”.
E são várias as situações que poderão levar empresas a serem penalizadas. Talvez, uma das mais frequentes, segundo Braga, poderá ocorrer quando a empresa não adotar as medidas de segurança, físicas, técnicas e administrativas ditadas por regras de boas práticas e de governança comuns no mercado.
Também fazem parte da lista medidas aptas a proteger os dados pessoais de terceiros, de acessos não autorizados, de situações acidentais ou ilícitas de destruição, perda, alteração e comunicação. Ou ainda tendo sido vítima de um ou mais ataques cibernéticos, possibilite que os dados pessoais por ela tratados vazem para a internet, ou sejam capturados por hackers, diz Braga.
Atenção redobrada
Os departamentos pessoais e setores de RH por tratarem dados pessoais de forma massiva são áreas sensíveis e que precisam ficar atentos sobretudo devido ao volume de dados pessoais com os quais atuam diariamente. Vale destacar que empresas de médio e grande porte têm números robustos de colaboradores, inclusive terceirizados, o que eleva o risco em razão do tratamento de dados pessoais. Por isso, é importante ter bem mapeados todos os fluxos e processos que envolvem o setor, como a seleção, a contratação, o pagamento e oferta de benefícios e até mesmo a rescisão.
“Um nível adequado de segurança da informação, uma boa avaliação de riscos, cuidados com o tratamento de dados sensíveis e de menores de idade (especialmente dependentes dos colaboradores e até mesmo aprendizes), cuidados com a temporalidade do tratamento desses dados (em particular após o término da relação contratual) e, talvez um dos pontos mais delicados, avaliar bem os riscos decorrentes de compartilhamento desses dados com terceiros, como fornecedores de serviços”, destaca Alves.
Um ponto que deve ser bem avaliado pelas organizações refere-se à análise dos perfis de candidatos nas redes sociais como meio de avaliação e seleção, ressalta o advogado especializado em proteção de dados pessoais e segurança da informação.
“Os empregadores não devem pressupor que o simples fato de o perfil de um candidato estar publicamente disponível em certa rede social lhes permita proceder ao tratamento de seus dados com o propósito de avaliar a sua aptidão para exercer o cargo anunciado. Além do mais, o empregador deve ponderar se o tratamento dos dados disponíveis nas redes sociais é necessário e pertinente ao desempenho da função à qual o titular se candidatou, sob pena de violar a sua privacidade e infringir, por conseguinte, a LGPD”, acrescenta Braga.
Por isso a Unico, especializada em tecnologia com foco em identidade digital, tem se destacado no mercado com sua expertise. A empresa oferece ferramenta multifuncional, que possui customização de formulários, elaboração de contratos e até assinaturas eletrônicas de todos os documentos de RH, tudo em conformidade com a LGPD. Entre as vantagens estão otimizar o processo de onboarding da admissão do candidato de forma rápida e transparente às partes, trazendo maior segurança no armazenamento e gerenciamento de tais informações tanto para o empregador, quanto para o colaborador
“Empresas que oferecem serviços de proteção de dados nos processos de identificação e autenticação para acesso a serviços prestam um serviço incomensurável ao mercado, pois funcionam como plataformas de integridade e conformidade em privacidade. Isso, além de reduzir riscos, aumenta a eficiência, o que é um `casamento’ perfeito para o mercado”, analisa Alves.
O especialista do Serur Advogados acrescenta ainda que esses cuidados devem estar ligados à existência de um diálogo entre LGPD e direitos trabalhistas, porque a fiscalização pode ser feita por autoridades distintas e elas podem, ou não, atuar de forma coordenada.
Além de multas, outras possíveis sanções administrativas são: advertência, suspensão parcial do funcionamento do banco de dados, suspensão do exercício da atividade de tratamento dos dados pessoais, proibição do exercício de atividades relacionadas a tratamento de dados, entre outras.
Informações do Estadão Conteúdo
Foto: pch.vector/Freepik
Comentários estão fechados.