EMPRESA É CONDENADA POR MÁ GESTÃO DE DADO SENSÍVEL NA FORMA DA LEI GERAL DE PROTEÇÃO DE DADOS - LGPD

A Lei Geral de Proteção de Dados Pessoais - 13.709/18 ou LGPD, trouxe significativas mudanças no tratamento da gestão de dados pessoais, ocasionando importantes reflexos na gestão empresarial.

A nova legislação é contundente ao prever, em seu art. 52, sanções rigorosas para o caso de uso indevido de dado pessoal sensível, senão vejamos:

Lei 13.709/2018 Art. 52. Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas nesta Lei, ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional: (Vigência)

I - advertência, com indicação de prazo para adoção de medidas corretivas;

II - multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;

III - multa diária, observado o limite total a que se refere o inciso II;

IV - publicização da infração após devidamente apurada e confirmada a sua ocorrência;

V - bloqueio dos dados pessoais a que se refere a infração até a sua regularização;

Os Tribunais têm fixado o entendimento de que as violações à privacidade e à proteção dos dados constituem elementos suficientes capazes de gerar direitos indenizatórios.

Nesse sentido, vejamos recente julgado: Recurso inominado – Vazamento de dados pessoais de cliente por empresa fornecedora de energia elétrica – Relação de consumo – Tratamento de dados pessoais de pessoa localizada no território nacional e após 17/09/2020 – LGPD aplicável ao caso – Vazamento denota que não foram adotadas medidas de segurança eficazes pela controladora/fornecedora (art. 46 da LGPD), o que caracteriza defeito na prestação do serviço – Responsabilidade objetiva da controladora/fornecedora (art. 14 do CDC)– Ação de eventual hacker que constitui fortuito interno – Danos morais in re ipsa, conforme precedente do STJ – Indenização arbitrada em R$ 5.000,00 – Sentença reformada – Recurso provido. (TJ-SP - RI: 10030862120218260003 SP 1003086-21.2021.8.26.0003, Relator: Carlos Eduardo Santos Pontes de Miranda, Data de Julgamento: 25/10/2021, 4ª Turma Recursal Cível - Santo Amaro, Data de Publicação: 25/10/2021)

No caso acima destacado, segundo o entendimento do Tribunal de Justiça do Estado de São Paulo, a concessionária de energia elétrica foi condenada por não adotar medida de segurança eficaz para coibir ataque hacker, que culminou na destinação indevida de dado pessoal.

A simples conduta omissiva de não promover a adequação e adoção das medidas indispensáveis para a proteção dos dados pessoais sensíveis ocasiona o risco de aplicação das sanções previstas no art. 52, da LGPD.

Sobre casos desta natureza, o art. 46, da Lei Geral de Proteção de Dados, é claro ao dispor: Lei 13.709/2018. Art. 46. Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.

A rigidez da norma e contundências das sanções administrativas e judiciais, possuem como objetivo garantir maior êxito na implantação dos mecanismos de seguridade dos dados pessoais. Para garantir o pleno e integral cumprimento de todos os dispositivos legais aplicáveis à gestão de dados pessoais, muitas empresas têm investido em novas tecnologias e contratação de profissionais especializados, incluindo a contratação de assessoria jurídico com o fito de conferir maior segurança nas adequações indispensáveis ao cumprimento do disposto na nova normativa de proteção de dados.

Neste cenário, de acordo com a legislação regente e, ainda, o entendimento jurisprudencial acerca do tema, não há dúvidas sobre a importância de promover a revisão de processos internos em todos os setores e departamentos das empresas, efetivando, inclusive, a elaboração de relatórios de riscos e impactos, mapeamentos, planos de ação e tratativas voltadas a reduzir riscos relacionados a vazamentos, compartilhamentos indevidos e a adequação das medidas de segurança exigidas pela lei, porquanto os impactos são capazes de repercutir dentro do quadro de funcionários, clientes, e até mesmo parceiros e fornecedores.

Qualquer dúvida, não deixe de entrar em contato por e-mail, telefone ou através de nossos canais nas redes sociais.

Lucas Chaves