A Lei Geral da Proteção de Dados Pessoais (LGPD), Lei nº 13.709 entrou em vigor em setembro de 2020. Desde então, tem gerado discussões sobre a coleta, armazenamento e compartilhamento de dados por empresas.
A LGPD determina padrões para o tratamento de dados pessoais sensíveis. A partir dela, coleta e uso devem ser limitados ao que foi informado ao titular no momento do consentimento. A prática também deve estar alinhada às bases legais.
Além disso, a Lei só permite o tratamento de dados com o consentimento expresso. Ela confere ao titular dos dados também o poder de revogar o consentimento e o acesso a essas informações, solicitar a eliminação, entre outros.
Essa norma impactou a sociedade como um todo, inclusive os operadores de Direito. Agora, além de orientar seus clientes quanto às adequações às normas, os advogados precisam se preocupar em garantir que seus escritórios também estejam em conformidade.
O descumprimento da legislação pode causar uma série de sanções LGPD administrativas aplicadas pela Autoridade Nacional de Proteção de Dados Pessoais (ANPD), que começaram a valer em agosto de 2021.
Saiba mais sobre as sanções LGPD, como elas podem impactar seu negócio, por que é importante acompanhar as atualizações da Lei e como se manter protegido e em conformidade neste artigo. Vamos lá?
Saiba como verificar uma assinatura digital
O que é a LGPD?
A LGPD é a lei brasileira criada para regulamentar a Proteção de Dados Pessoais. Ela determina uma série de regras para empresas que fazem coleta, armazenamento, tratamento e compartilhamento de dados pessoais online ou offline.
Essa norma possui aplicação extraterritorial. Isso quer dizer que a lei pode ser aplicada, mesmo que a sede ou os dados processados pela empresa não estejam no Brasil, mas sejam dados de cidadãos brasileiros ou coletados no Brasil.
O objetivo dessa legislação é garantir os direitos de liberdade, privacidade e livre formação da personalidade dos indivíduos.
Essa regulamentação foi aprovada em 2018, mas só deveria entrar em vigor em agosto de 2020. Apesar disso, houve uma solicitação para que a vigência fosse alterada para maio de 2021. O pedido foi recusado e a Lei entrou em vigor em setembro de 2020.
A promulgação desta legislação significa um marco na regulamentação do tratamento de dados no Brasil. A LGPD é destinada a empresas privadas, públicas e à União, estados e municípios.
A LGPD faz com que o Brasil entre no rol de 120 países que possuem leis específicas para a proteção de dados pessoais. O regulamento europeu, conhecido como General Data Protection Regulation (GDPR), é a principal influência para a criação da Lei brasileira.
O GPDR é a legislação sobre proteção de dados que tem mais destaque. Por isso, serviu como modelo para que diversos outros países adotassem medidas semelhantes ou reforçassem políticas que já existiam.
Quais são as sanções LGPD?
A ANPD é o órgão responsável pela implementação e fiscalização do cumprimento da LGPD. A agência tem atribuições como: elaborar políticas nacionais de preservação dos dados pessoais e punir quem descumpre a norma, seja o poder público ou iniciativa privada.
Assim, é sua responsabilidade, por exemplo, cobrar a transparência no uso de dados por empresas e governos. A Autoridade adota um modelo de fiscalização responsivo, que vai além das sanções, permitindo a adoção de medidas orientativas e preventivas para que as empresas possam voltar à conformidade com a LGPD.
Isso porque a LGPD garante ao cidadão o direito à privacidade de informações pessoais como, por exemplo, nome, e-mail, endereço, idade e estado civil. A Lei obriga que os sites das empresas deixem claras as informações sobre como os dados são tratados, armazenados e para qual finalidade.
Dessa forma, com base no artigo nº 52 da LGPD, a ANPD tem permissão para aplicar as seguintes sanções administrativas:
- Advertência, indicando um prazo para que medidas corretivas sejam adotadas;
- Multa simples, no valor de até 2% do faturamento da Pessoa Jurídica de direito privado, grupo ou conglomerado no Brasil. Esse valor é calculado com base no último exercício da empresa, excluídos os tributos. O limite é de R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
- Multa diária, respeitando o limite total descrito acima;
- Divulgar a infração após a devida apuração e confirmação de sua ocorrência;
- Bloqueio dos dados pessoais referentes à infração até que sejam regularizados;
- Exclusão dos dados pessoais aos quais a infração se refere;
- Suspensão parcial do banco de dados ao qual a infração se refere pelo período de até seis meses, prorrogável pelo mesmo período até que o controlador regularize a atividade de tratamento;
- Suspensão da atividade de tratamento dos dados pessoais à qual a infração se refere pelo período de até seis meses, prorrogável pelo mesmo período;
- Proibição parcial ou total de atividades relacionadas a tratamento de dados.
Com exceção das multas, todas as outras sanções poderão ser aplicadas ao Poder Público. A ANPD pode aplicar punições severas a quem não se adequar às disposições da LGPD, como o bloqueio ou eliminação definitiva dos dados pessoais irregularmente tratados e multas.
As sanções administrativas consideradas mais graves, como, por exemplo, a proibição total das atividades relacionadas ao tratamento de dados na empresa, serão aplicadas somente após a aplicação de penas menos intensas, como multas diárias ou a divulgação pública da infração.
Além disso, as sanções e multas só poderão ser aplicadas após procedimento administrativo que permita uma ampla defesa. Elas também devem considerar os seguintes critérios de gravidade:
- A natureza das infrações;
- A natureza dos direitos pessoais afetados;
- A boa-fé;
- A vantagem obtida ou pretendida;
- A condição econômica do infrator;
- A reincidência;
- O grau do dano;
- A cooperação do infrator;
- A demonstração de mecanismos e procedimentos internos com o intuito de reduzir o dano e de aplicar medidas corretivas;
- A adoção de política de boas práticas e governança;
- A proporcionalidade entre a gravidade da falta e a intensidade da sanção.
Por que é importante se manter atualizado em relação às sanções LGPD?
A LGPD é a primeira lei nacional relacionada ao tema. Além disso, ela é importante, pois regulamenta o tratamento de dados pessoais. Essas regras vão desde os princípios disciplinadores da proteção de dados, passando pelas bases legais e incluindo a fiscalização e responsabilização dos envolvidos que não se adequarem.
Ela também prevê a possibilidade do titular dos dados pessoais requerer informações como a confirmação da existência do tratamento de seus dados, o acesso a eles, a correção de informações incompletas, a exclusão de dados desnecessários e a portabilidade para outro fornecedor de produtos e serviços.
Assim, LGPD cria uma nova cultura de privacidade e proteção de dados no Brasil. Mas, isso requer a conscientização de toda a sociedade sobre a importância dos dados pessoais e seus reflexos em direitos fundamentais como a liberdade, a privacidade e o livre desenvolvimento da personalidade da pessoa natural.
Por isso, acompanhar as atualizações em relação às sanções da LGPD é fundamental para se manter em dia quanto às exigências da Lei e evitar punições e multas para sua empresa.
Assim, a empresa não perde notícias como a publicação do regulamento de aplicação de sanções administrativas, feita pela ANPD em 27 de fevereiro. Esse documento serve para orientar a escolha da sanção mais adequada para cada caso de violação à LGPD, e permite o cálculo do valor da multa aplicável ao infrator.
Como funcionam as sanções de LGPD nos escritórios de advocacia?
Em fevereiro de 2021, o Centro de Estudos das Sociedades de Advogados (CESA) emitiu uma nota de esclarecimento enfatizando que os escritórios de advocacia estão igualmente sujeitos à LGPD.
Ou seja, assim como outros tipos de empresas, as sociedades de advogados precisam adotar medidas efetivas para implementar planos de governança sobre o tratamento de dados pessoais.
Da mesma forma, é fundamental ter a consciência de que as sanções aplicáveis às outras empresas também valem para escritórios de advocacia em casos de desconformidade com a Lei. Além das punições administrativas e multas, esses casos podem trazer um impacto considerável para a reputação profissional.
Conforme a Lei, muito mais do que a necessidade de estruturar processos, é preciso promover a gestão de dados e transformar a cultura de tratamento no meio. A cultura, inclusive, é um dos maiores desafios no meio, e é necessário absorver novos conceitos e treinar os colaboradores para garantir a segurança das informações com as quais o escritório lida.
O caminho de conformidade à LGPD é um processo contínuo, e é fundamental se manter em conformidade com a legislação. Apesar da dificuldade, esse processo poderá ser simplificado se os escritórios estiverem familiarizados com os conceitos, metas e detalhes da lei.
Quais os perigos do compartilhamento de certificados digitais?
O compartilhamento de certificados digitais é muito comum em escritórios de advocacia e outros tipos de empresas. Isso porque normalmente as equipes usam um mesmo documento para acessar sistemas e realizar assinaturas.
As empresas fazem isso para reduzir custos e não precisar fazer a emissão do certificado para os funcionários, pois nem todos possuem o documento, para descentralizar tarefas que ficariam restritas somente aos proprietários do certificado e também para dar vazão às demandas processuais.
Porém, essa prática é extremamente arriscada, já que todas as ações realizadas por meio do certificado digital possuem validade jurídica. Isso significa que o titular é o responsável por todas as consequências das ações que foram tomadas usando o documento.
Com o certificado digital, é possível executar tarefas como:
- Assinar documentos e declarações;
- Fazer o envio desses documentos com autenticação pela internet;
- Emitir nota fiscal eletrônica;
- Usar o eSocial;
- Acessar serviços como o portal da Receita Federal;
- Acessar outros ambientes virtuais com segurança.
Dessa forma, o compartilhamento de certificados digitais traz diversos perigos ao titular, como, por exemplo:
Riscos à segurança da informação
Se o certificado digital não for usado da maneira correta, podem acabar ocorrendo incidentes como vazamento de dados. Assim, pessoas não autorizadas podem ter acesso a informações confidenciais e sensíveis, o que pode trazer diversos problemas à empresa, inclusive sanções LGPD.
Em um ciberataque, dados de clientes, colaboradores e da própria empresa podem ser expostos, como CPF, número do cartão de crédito ou senhas. Essas informações podem ser vendidas ou mesmo sequestradas para extorsão.
Entenda o que é segurança da informação e seus pilares e descubra como se manter protegido!
Sobrecarga da equipe
A manutenção dos certificados compartilhados com os colaboradores exige uma trabalhosa rotina, que pode causar sobrecarga à equipe. Isso porque é preciso realizar ações frequentes de atualização, instalações, renovações, gestão de acessos dos novos e antigos funcionários.
Tudo isso toma muito tempo dos colaboradores e aumenta o risco de falha humana.
Gerenciamento de acessos
Além disso, as empresas costumam conceder acessos sem tomar precauções para que esse processo seja seguro. Com isso, ferem as normas de compliance e LGPD. Mas, a boa notícia é que por meio de ferramentas de gestão de acesso, como o Whom, é possível solucionar esse problema.
Como a Whom te ajuda a entrar em compliance com as sanções LGPD?
Soluções como o Whom foram desenvolvidas para garantir a adequação às normas de compliance e evitar as sanções LGPD. Este é um gerenciador de certificados digitais que permite ao gestor ou titular do documento:
- Conceder e revogar acessos de uso para os colaboradores que precisam usar o documento em seu dia a dia de trabalho;
- Acessar o histórico de uso do documento de qualquer lugar;
- Proteger os dados;
- Restringir atividades;
- Definir níveis de acesso por cargo, função, grupos, horários e outras restrições.
Por meio da solução, é possível realizar o compartilhamento de certificados digitais de forma segura, permanecer em compliance e evitar sanções LGPD. Assim, é possível realizar operações por meio do certificado digital com toda a proteção.
Conclusão
As sanções LGPD são uma série de medidas previstas na Lei para evitar a não adequação das empresas e garantir a segurança na coleta, tratamento, armazenamento e compartilhamento de dados pessoais e sensíveis.
Práticas como o compartilhamento de certificados digitais podem trazer sérios problemas aos negócios, como vazamentos de dados, aumento do risco de erros devido à sobrecarga da equipe e dificuldade na limitação de acessos a sistemas e informações que deveriam ser privadas.
Por isso, é fundamental contar com ferramentas como o Whom para manter a segurança das operações que envolvem o compartilhamento de dados e evitar sanções LGPD.
