liderança

liderança

notícias

PT
EN
JP
voltar

artigos

- 29/08/21

Responsabilização na LGPD: quem responde pelo vazamento de dados?

Existem sanções para quem não cumpre a LGPD?

O agente de tratamento de dados que descumprir os preceitos da Lei Geral de Proteção de Dados está sujeito a dois tipos de punições: a responsabilização por danos patrimoniais e morais (sejam estes individuais ou coletivos), conforme prevista no art. 42 da LGPD, e a aplicação das sanções administrativas estabelecidas no artigo 52 da LGPD. Estas sanções administrativas consistem em:

  • Advertência, com indicação de prazo para adoção de medidas corretivas.
  • Multa simples de até 2% do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil, limitada a cinquenta milhões de reais por infração.
  • Multa diária, novamente até o limite de cinquenta milhões de reais por infração.
  • Publicização da infração.
  • Bloqueio dos dados pessoais que envolvem a infração até a sua regularização.
  • Eliminação dos dados pessoais envolvidos na infração da base de dados.
  • Suspensão parcial do banco de dados pelo período máximo de 6 (seis) meses, prorrogáveis por igual período, até a sua regularização.
  • Suspensão da atividade de tratamento de dados pessoais pelo período máximo de 6 (seis) meses, prorrogáveis por igual período.
  • Proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.

Estima-se que a abordagem da Autoridade Nacional de Proteção de Dados terá um viés inicialmente educativo, embora casos mais graves poderão acarretar punições mais severas, considerados os riscos, gravidade, atualidade e relevância do incidente de segurança apurado.

Além das sanções previstas na LGPD, é importante destacar outros reflexos negativos que podem incidir nos agentes de tratamento responsabilizados pelo descumprimento das normas protetoras.

Para além de multas e indenizações, uma empresa que viole a Lei Geral de Proteção de Dados corre riscos ainda maiores.  O mau uso de dados pessoais de clientes, empregados e fornecedores pode gerar reflexos negativos em sua reputação perante o mercado no qual está inserida, causando danos a sua imagem e a seu próprio valor como marca. As empresas, portanto, devem buscar estar em conformidade com a LGDP para não sofrer tais consequências.

A LGPD já está em vigor. E as sanções? Já podem ser aplicadas?

 A Lei Geral de Proteção de Dados entrou em vigor em 17 de setembro de 2020. Entretanto, as sanções administrativas somente entraram em vigor em 1º de agosto de 2021. Desde então, todas as  as sanções previstas por violações às normas previstas na LGPD podem, em tese, ser aplicadas aos responsáveis.

Mesmo antes destas datas, no entanto, os responsáveis por violações à legislação de proteção de dados já podiam ser penalizados com fundamento em outros dispositivos legais, como a Constituição Federal da República, no Código de Defesa do Consumidor, no Marco Civil da Internet, no Código Penal e no Código Civil.

Quem fiscaliza?

A Autoridade Nacional de Proteção de Dados – ANDP é o órgão da administração pública federal responsável pela fiscalização e aplicação das sanções administrativas previstas na LGPD.

Sua missão é assegurar a mais ampla e correta observância da LGPD no Brasil, garantindo a devida proteção aos direitos fundamentais de liberdade, privacidade e livre desenvolvimento da personalidade dos titulares dos dados pessoais.

A aplicação das sanções previstas no artigos 52 a 54 da LGPD compete exclusivamente à ANDP e depende de procedimento administrativo prévio que preze pelo exercício do contraditório e da ampla defesa, em observância ao devido processo legal.

Todavia, nada impede que outros órgãos e entidades públicas responsáveis pela regulação de setores específicos da atividade econômica e governamental possam investigar violações de irregularidades no tratamento de dados e apliquem sanções similares, desde que com fundamento legal, como no caso do Ministério Público, Agências Reguladoras, Senacon, Procon, Bacen, CADE, entre outros.

Além disso, os órgãos acima citados e os titulares podem requerer judicialmente reparações de danos.

O que são incidentes de segurança?

Os agentes de tratamento têm o dever de adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais dos chamados incidentes de segurança, que, de acordo com a ANPD, são quaisquer eventos adversos confirmados relacionados à violação na segurança de dados pessoais, tais como acesso não autorizado, acidental ou ilícito que resulte na destruição, perda, alteração, vazamento ou ainda, qualquer forma de tratamento de dados inadequada ou ilícita, os quais possam ocasionar risco para os direitos e liberdades do titular dos dados pessoais.

Incidentes de segurança devem ser comunicados  aos titulares e à Autoridade Nacional de Proteção de Dados, fornecendo todas as informações necessárias para que a ANPD e a vítima adotem medidas necessárias.

De acordo com a LGPD, a comunicação deverá ser feita pelo controlador em prazo razoável, definido por regulamentação da ANPD (a Autoridade atualmente recomenda, mas não determina, o prazo de dois dias úteis contados a partir da ciência do incidente), por meio de um formulário eletrônico disponível no site da ANPD. Tal comunicação deverá conter, no mínimo, uma descrição da natureza dos dados afetados, informações sobre os titulares envolvidos, indicação das medidas técnicas e de segurança utilizadas na proteção de dados, riscos relacionados ao incidente, e as medidas utilizadas para reverter ou mitigar os efeitos da falha no tratamento de dados. Caso a comunicação não tenha sido imediata, o controlador deve também apresentar justificativa para a demora,

A depender da gravidade do caso, conforme análise da ANPD, a autoridade poderá determinar ao Controlador que haja ampla divulgação do fato nos meios de comunicação, bem como impor medidas de mitigação e reversão dos efeitos do incidente.

A recomendação é de que o controlador tenha uma postura de cautela, optando por realizar a comunicação caso tenha dúvida a respeito da relevância dos riscos e danos envolvidos, uma vez que uma eventual subavaliação por parte do controlador pode ser considerada como um novo descumprimento à legislação de proteção de dados.

Responsabilidade Civil: Impactos da LGPD na responsabilidade civil e no Código de Defesa do Consumidor

A responsabilização do agente de tratamento de dados é apurada em processo judicial. A LGPD cria um sistema de responsabilização objetiva, isto é, independente de dolo ou culpa do agente, bastando apenas a comprovação do chamado nexo de causalidade (a relação causal entre conduta e dano).  Vale lembrar também que a LGPD, de forma similar ao Código de Defesa do Consumidor, estabelece que o juiz poderá inverter o ônus da prova a favor do titular dos dados quando for verossímil sua alegação, ou houver hipossuficiência para fins de produção de prova, ou ainda quando a produção de prova pelo titular resultar-lhe excessivamente onerosa.

Quem responde por violações na LGPD?

De acordo com a Lei Geral de Proteção de Dados, o controlador e o operador podem ser responsabilizados em caso de danos ao titular dos dados pessoais.

O artigo 42 prevê que: “o controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo”.

O controlador é a pessoa natural ou jurídica a quem competem as decisões referentes ao tratamento de dados pessoais. O operador é a pessoa natural ou jurídica que realiza o tratamento de dados em nome do controlador. Controlador e operador são também chamados na LGPD de agentes de tratamento.

A responsabilidade civil decorrente do vazamento de dados pessoais é solidária, quando causarem dano patrimonial, moral, individual ou coletivo e, ainda, quando deixarem de adotar as medidas de segurança previstas na LGPD, em caso de violação por terceiros. Por consequência, caberá a imputação do dano sofrido pelo titular dos dados, bem como a sua reparação, tanto ao controlador quanto ao operador.

A responsabilização do Controlador e do Operador serão afastadas mediante prova de que não realizaram a conduta causadora do incidente de segurança, ou, caso tenham realizado o tratamento não houve violação à legislação protetora de dados, ou, também, ocorreu por culpa exclusiva do titular ou de terceiros.

Portanto, é fundamental o comprometimento das empresas com a conformidade da Lei Geral de Proteção de Dados, adotando mecanismos e ferramentas técnicas, visando a preservação da segurança da informação.

Além do controlador e do operador, vale lembrar que a LGPD também cria a figura do Encarregado, que é a pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre empresa, os titulares dos dados e a Autoridade Nacional de Proteção de Dados. No entanto, ele tem funções semelhantes a um Compliance Officer, onde não ocorre a transmissão de competência decisória, o que exclui o Encarregado de garantidor do resultado. Deste modo, não há previsão expressa de sua responsabilização na LGPD.

O conteúdo apresentado está de acordo com estratégias de SEO, feito para ranqueamento no Google. O conteúdo será complementado com outras publicações.