Veja o 1° capítulo do artigo,
na edição passada
2° capítulo
ARTIGO
lei
de
proteção
de dados
*****
VI
Por Paulo
Pelegrini
Advogado,
Assessor Jurí-
dico de várias
Associações
de Marca e
membro do
Conselho
Jurídico da
Fenabrave.
MECANISMOS DE SEGURANÇA DE DA-
DOS PESSOAIS:
Essa nova legislação, contempla tam-
bém, a segurança, a prevenção e a ado-
ção de medidas para o estabelecimento
de boas práticas de governança pelas
empresas no que diz respeito ao trata-
mento de dados pessoais de seus clien-
tes, por estas utilizados, sendo de suma
relevância observar-se o que a “Autorida-
de Nacional de Proteção de Dados” po-
derá dispor sobre os aspectos técnicos
mínimos a serem adotados para tornar
aplicável os padrões de segurança e go-
vernança em especial, para o tratamento
de dados pessoais sensíveis.
O artigo 46, estabelece parâmetros de
Segurança, prelecionando que as empre-
sas devem adotar medidas de segurança
de ordem técnica e administrativa aptas
a proteger dados pessoais de acessos
não autorizados, além de situações aci-
dentais ou ilícitas de destruição, perda,
alteração, comunicação ou qualquer for-
ma de tratamento inadequado ou ilícito.
Por seu turno, o artigo 50, preleciona
as ‘boas práticas de governança’ tendo
por estabelecido que as empresas pode-
rão formular regras internas e diretrizes
que estabeleçam condições de organi-
zação, o regime de funcionamento, os
procedimentos, incluindo reclamações e
petições de titulares, as normas de segu-
rança, os padrões técnicos, as obrigações
específicas para os diversos envolvidos
no tratamento de dados, as ações educa-
tivas, os mecanismos internos de super-
visão e de mitigação de riscos e outros
aspectos relacionados ao tratamento de
dados pessoais.
VII – AGENTES FISCALIZADORES DO
CUMPRIMENTO DA L.G.P.D:
A fiscalização do cumprimento dessa
nova legislação que logo entrará em vigor,
ficará ao cargo da Autoridade Nacional
de Proteção de Dados (ANDP), conforme
estabelecido no artigo 5º, inciso XIX, tra-
tando-se de um órgão de administração
pública indireta, responsável por zelar,
implementar e fiscalizar o cumprimento
dessa Lei.
A experiência internacional sobre o
tema, indica a necessidade de se ter uma
instância reguladora com características
de independência, especialização técnica
e poderes efetivos de ‘enforcement’.
O órgão em questão, não terá uma
estrutura independente, e ficará subordi-
nado à Presidência da República, com um
compromisso de revisão de sua natureza
institucional após 02 (dois) anos.
VIII - DAS SANÇÕES APLICÁVEIS PELO
DESCUMPRIMENTO DA LEI:
De suma importância alertar que a
L.G.P.D, implementou a aplicação de
severas sanções para as empresas que
eventualmente vierem a descumprir as
disposições legais nela referidas, o que
demonstra a clara e inequívoca neces-
sidade de adequação e implementação
de boas práticas de governança, segu-
rança e prevenção desde logo.
Elencamos a seguir as principais
sanções aplicáveis, conforme o caso:
SANÇÕES ADMINISTRATIVAS (Arti-
go 52): Os agentes de tratamento de da-
dos, em razão das infrações cometidas
às normas previstas na Lei, ficam sujei-
tos às seguintes sanções administrati-
vas aplicáveis pela autoridade nacional:
(I) Advertência, com a indicação de pra-
zo para a adoção de medidas coletivas;
(II) Multa simples de até 2% (dois por
cento) do faturamento da pessoa jurídi-
ca de direito privado, grupo ou conglo-
merado no Brasil no seu último exercí-
cio, excluídos os tributos, limitada no
total de R$ 50.000.000,00 (Cinquenta
milhões de reais) por infração;
(III) Multa diária, observado o limite
total a que se refere o inciso II, publi-
cização da infração após devidamente
apurada e confirmada a sua ocorrência;
(IV) Bloqueio dos dados pessoais a
que se refere a infração até a sua re-
gularização;
(V) Eliminação dos dados pessoais a
que se refere a infração.
IX - RESPONSABILIDADE E RESSAR-
CIMENTO DE DANOS:
O controlador ou o operador que,
em razão do exercício de atividade de
tratamento de dados pessoais, causar
a outrem dano patrimonial, moral, indi-
vidual ou coletivo, em violação à legis-
lação de proteção de dados pessoais,
é obrigado a repará-lo;
O operador responde solidariamente
pelos danos causados pelo tratamento
quando descumprir as obrigações da
legislação de proteção de dados ou
quando não tiver seguido as instruções
lícitas do controlador.
Os controladores que estiverem di-
retamente envolvidos no tratamento do
qual decorram danos ao titular dos da-
dos respondem subsidiariamente.
Aquele que reparar o dano ao titular
tem direito de regresso contra os de-
mais responsáveis, na medida de sua
participação no evento danoso.
Os agentes de tratamento só não
serão responsabilizados quando prova-
rem que não realizaram o tratamento
de dados pessoais que lhes é atribuído;
quando não houve violação à legislação
de proteção de dados; ou que o dano é
decorrente de culpa exclusiva do titular
dos dados ou do terceiro.
O tratamento de dados pessoais será
irregular quando deixar de observar a
legislação ou quando não fornecer a
segurança que o titular dele esperar,
consideradas as circunstâncias relevan-
tes, entre as quais: o modo pelo qual é
realizado; o resultado e os riscos que
razoavelmente deles se esperam, as
técnicas de tratamento de dados pes-
soais disponíveis à época em que foi
realizado.
X – ADEQUAÇÕES QUE SUGERIMOS
AS EMPRESAS TOMAREM APÓS A
ENTRADA EM VIGOR DA L.G.P.D.:
Para se enquadrar as novas exigên-
cias da legislação em questão, as em-
presas necessariamente terão de fazer
investimentos para a implementação
de uma política interna de ‘complian-
ce digital’ referente ao tratamento de
dados de seus clientes.
Incialmente, entendemos pertinen-
te, a formulação de um diagnóstico da
equipe de TI da própria empresa e/ou
de empresa terceirizada, com relatórios
de análises de riscos e do impacto das
novas exigências, para verificação e
constatação de seus pontos vulnerá-
veis e de seus maiores fatores de risco.
A partir dessa análise inicial, a
empresa necessariamente deverá es-
truturar uma área específica para o
controle de dados, com a indicação
de um Encarregado de Proteção de
Dados (DPQ), devendo ainda ter sem
seu quadro funcional, além da figura
do encarregado, controladores e ope-
radores.
É recomendável também a criação
de um grupo ou comitê interno que
atue exclusivamente na elaboração de
políticas internas, metas e planos de
gerenciamento de proteção de dados,
assim como planos de emergência
para as gestões de crises envolvendo
segurança e privacidade.
Deverá ainda a empresa elaborar e
revisar documentos jurídicos com a
realização de eventuais adendos aos
contratos existentes para adequação
aos padrões de proteção de dados,
principalmente por aqueles que envol-
vam o tratamento e compartilhamento
de dados pessoais de seus clientes.
Garantir o exercício dos direitos dos
titulares de dados pessoais, mediante
a confirmação de implementação de
medidas técnicas organizacionais.
Realizar treinamentos internos
para a apresentação das novas polí-
ticas de proteção de dados pessoais
para a disseminação da cultura empre-
sarial sobre o tema.
Promover a criação de um progra-
ma de governança e proteção de da-
dos com a elaboração de medidas e
controles para o acompanhamento da
implantação de padrões que estejam
de conformidade com as novas prer-
rogativas da Lei Geral de Proteção de
Dados Pessoais e legislações setoriais
aplicáveis.
7