A Lei Geral de Proteção de Dados – LGPD impõe o correto tratamento dos dados pessoais, garantindo a privacidade referente às informações das pessoas físicas por meio da segurança da informação. Sua aplicabilidade recai tanto sobre pessoas físicas, quanto pessoas jurídicas de direito público e privado, que realizam tratamentos de dados no Brasil, com objetivo comercial e de indivíduos localizados no país.
As concessionárias serão atingidas pela LGPD?
Sim, pois as concessionárias deverão ajustar todos os processos operacionais que tratam dados pessoais. Isso significa que os processos operacionais deverão ser mapeados e o fluxo dos dados estabelecido, isto é, o ciclo de vida dos dados pessoais que abrange a fase da coleta, uso, compartilhamento, retenção e eliminação dos dados pessoais.
Por que proteger os dados pessoais?
Os dados pessoais pertencem aos titulares dos dados, ou seja, das pessoas físicas a quem competem as informações. As concessionárias fazem uso desses dados, de funcionários, clientes, potenciais clientes, entre outros, nas suas operações. Logo, os incidentes de segurança sobre esses dados podem gerar riscos ou danos para essas pessoas, independente do meio onde o dado estiver inserido, seja físico ou digital.
Qual o conceito de dado pessoal e tratamento de dados pessoais?
Dado pessoal é toda informação relacionada a uma pessoa física identificada ou identificável. É toda informação que diretamente ou combinada com outras identifique de forma inequívoca uma pessoa física.
Quais são os direitos dos titulares dos dados?
Os direitos dos titulares consistem em: confirmação da existência do tratamento, livre acesso aos dados, correção de dados incompletos, inexatos ou desatualizados, anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a lei, portabilidade, revogação de consentimento, exclusão dos dados, oposição aos tratamentos dos dados, direito de peticionar em relação aos seus dados contra o controlador perante a autoridade nacional e revisão de decisão automatizada.
Quais são as principais exigências?
A lei define princípios a serem atendidos em todo tratamento de dados pessoais, sendo eles: finalidade, adequação, necessidade, livre acesso, qualidade dos dados, transparência, segurança, prevenção, não discriminação, responsabilização e prestação de contas. Para atendê-los, as concessionárias deverão cumprir com medidas técnicas e organizacionais.
O consentimento não é o único requisito, existem outras 9 bases que podem justificar o tratamento dos dados. Para as concessionárias, as bases mais utilizadas serão cumprimento de obrigação legal, execução de contrato, legítimo interesse, consentimento, exercício regular de direitos, proteção ao crédito e proteção à vida.
Se a empresa não se adequar, o que pode acontecer?
A lei define como agentes de tratamento o Controlador e Operador. Sendo o Controlador quem decide sobre o tratamento dos dados e o Operador quem realiza o tratamento dos dados em nome do Controlador. Cabe aos agentes de tratamento dos dados demonstrar conformidade com a LGPD. O órgão responsável por zelar, implementar e fiscalizar o cumprimento da LGPD é a Autoridade Nacional de Proteção de Dados – ANPD.
As consequências de não realizar a conformidade podem ser as mais diversas, desde sanções administrativas como advertências, multas de até 2% do faturamento a R$ 50.000.000,00 por infração, multa diária, publicização da infração até bloqueio e eliminação dos dados.
Hipótese em que os órgãos de defesa consumeristas, como o PROCON, possuem legitimidade para defender os interesses dos titulares dos dados, o qual, por sua vez, poderá ainda recorrer ao judiciário para exigir possíveis indenizações. Além disso, o Ministério Público pode propor uma Ação Civil Pública e condenar a empresa ao pagamento de indenização ao dano causado. Sem mencionar que a perda de confiança dos clientes, danos à reputação e imagem da empresa também podem ser considerados prejuízos pela falta de adequação.
(post desenvolvido em colaboração com a DeServ)