Publicações

Punições da LGPD já estão em vigor: o que muda?

Aprovada em 2018, a Lei 13.709/2018, mais conhecida como Lei Geral de Proteção de Dados (LGPD), entrou ontem, 1º de agosto de 2021, em sua fase final de implementação.

Embora os direitos e deveres fixados pela LGPD já estivessem vigentes desde agosto de 2020, finalmente as sanções estabelecidas nos artigos 52, 53 e 54, da referida lei, entraram em vigor e, diante disso, importante que as empresas que tratam dados pessoais de seus colaboradores estejam atentas às diretrizes fixadas na lei, tendo em vista a possibilidade de fiscalização e aplicação de penalidades.

Assim, antes de adentrarmos nas sanções que poderão ser impostas a quem violar as diretrizes fixadas pela LGPD, vamos lembrar rapidamente as principais obrigações impostas pela lei, principalmente no que se refere ao tratamento, pelos empregadores, de dados pessoais de seus colaboradores.

1. Os envolvidos nas relações regulamentadas pela LGPD

A LGPD traz em seu artigo 5º os conceitos de “titular”, “controlador” e “tratamento”. De acordo com a lei, titular é a pessoa natural a quem se referem os dados pessoais que são objeto de tratamento.

Já o controlador é a pessoa natural ou jurídica, de direito público ou privado, a quem compete as decisões referentes ao tratamento de dados pessoais.

Por fim, tratamento é a operação realizada com dados pessoais, por exemplo, coleta, reprodução, transmissão, arquivamento, eliminação, dentre outras.

Assim, como reflexo da LGPD nas relações de trabalho, temos que o colaborador é o titular dos dados pessoais, enquanto o empregador é o controlador.

Desse modo, quando as empresas coletam dados de potenciais colaboradores em processos seletivos ou armazenam os dados pessoais de seus colaboradores já contratados, figuram na condição de controladoras, enquanto os colaboradores são os titulares dos dados pessoais. Todas as ações tomadas que envolvem estes dados pessoais são chamadas de tratamento.

2. Hipóteses em que o tratamento de dados pessoais poderá ser realizado

O artigo 7º, da LGPD, define situações específicas em que as empresas poderão armazenar e tratar os dados pessoais. São elas:

· Para cumprimento de obrigação legal ou regulatória pelo controlador (inciso II);

· Quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular (inciso V);

· Para o exercício regular de direitos em processo judicial, administrativo ou arbitral (inciso VI);

· Para a tutela de saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária (inciso VIII);

· Quando necessário para atender aos interesses legítimos do controlador ou de terceiro (inciso IX);

· Para proteção do crédito (inciso X).

Além de ser importante ficar atento às hipóteses fixadas pela lei que permitem o tratamento de dados pessoais, é imprescindível que, em toda e qualquer situação, haja consentimento fornecido pelo titular dos dados.

3. Da necessidade de consentimento para o tratamento de dados

Seja em relação ao tratamento de dados para fins de processo seletivo, seja para os dados tratados durante o contrato de trabalho, o empregador deve dispor de autorização expressa para tratar estes dados, exceto quando se tratarem de dados que a empresa precise tratar por imposição legal.

O consentimento pode ser fornecido por escrito ou por qualquer outro meio que demonstre a manifestação de vontade do titular.

Sendo o consentimento fornecido por escrito, a cláusula de consentimento deve estar destacada das demais cláusulas contratuais.

Além disso, o consentimento dado deve se referir a finalidades determinadas, não bastando autorizações genéricas, que poderão ser consideradas nulas.

Sem o consentimento do titular, os dados só poderão ser tratados em hipóteses excepcionais mencionadas no artigo 11 da Lei, como cumprimento de obrigação legal ou regulatória pelo controlador, exercício regular de direitos, proteção da vida, tutela da saúde e garantia da prevenção à fraude e à segurança do titular.

4. Dos direitos do titular

O titular dos dados pessoais tem direito a obter do controlador a qualquer momento, mediante requerimento, a confirmação da existência de tratamento; o acesso aos dados; a correção de dados incompletos, inexatos ou desatualizados; a eliminação de dados desnecessários e a eliminação de todos os dados pessoais tratados com consentimento. O titular também poderá revogar, a qualquer tempo, o consentimento dado para tratamento dos seus dados.

5. Da fiscalização e das sanções administrativas

A LGPD estabelece um rol de sanções administrativas, as quais possuem natureza admoestativa, pecuniária e restritiva de atividades.

O artigo 52 estabelece que a Autoridade Nacional de Proteção de Dados (ANPD) pode aplicar as seguintes sanções administrativas:

· Advertência, com indicação de prazo para adoção de medidas corretivas;

· Multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;

· Multa diária, observado o limite total acima mencionado;

· Publicização da infração após devidamente apurada e confirmada a sua ocorrência;

· Bloqueio dos dados pessoais a que se refere a infração até a sua regularização;

· Eliminação dos dados pessoais a que se refere a infração;

· Suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;

· Suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período;

· Proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.

Além destas, o controlador que, em razão do exercício de atividade de tratamento de dados pessoais causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo.

6. Conclusão

Com a entrada em vigor das sanções administrativas estabelecidas pela LGPD, é importante estar atento aos direitos estabelecidos pela lei, especialmente à necessidade de fornecimento de consentimento para o tratamento de dados e de existência de um canal próprio para que o titular dos dados possa requerer informações sobre o tratamento e, até mesmo, revogar o consentimento que havia concedido.

Ainda, é importante que o tratamento dos dados pessoais seja realizado mediante a adoção de todas medidas necessárias para que não haja vazamento de dados, eis que com a LGPD, passou-se a reconhecer um verdadeiro direito à proteção dos dados pessoais, resguardando-se principalmente o direito à intimidade e à privacidade do titular dos dados, direitos que, se violados, estão sujeitos à reparação.

Gabriela Pelles Schneider

Advogada. Mestre em direitos e garantias fundamentais pela FDV.