LEI Nº 13.709, DE 14 DE AGOSTO DE 2018.
Com o advento da Lei Geral de Proteção de Dados – LEI Nº 13.709, DE 14 DE AGOSTO DE 2018, surgiram algumas preocupações relacionadas à adequação das empresas à norma, isso porque o uso inadequado de dados pode geral indenizações de todos os gêneros.
O projeto de lei que posteriormente veio a se tornar a LGPD ganhou força após a aprovação do Marco Civil da Internet, e possui o escopo de estabelecer normas sobre a proteção de dados pessoais e a privacidade, especialmente na esfera da internet, tal como proteger os dados dos consumidores em situações que o tratamento de dados seja realizado pelo setor público ou privado, e esta proteção se aplica a todos os tratamentos de dados pessoais realizados no Brasil, ainda que localizados no exterior.
Isso garante ao consumidor uma sucessão de direitos, tal como direito ao bloqueio ou correção de informações disponibilizadas, se consideradas ilícitas ou excessivas, e o direito à indenização quando sofrer algum dano moral e/ou patrimonial.
Diante desse cenário, as empresas passaram a se preocupar com a segurança e a preservação desses dados.
Relativamente à segurança, a Lei estabelece que as empresas adotem medidas que impeçam a vazão, acesso indevido, destruição e que garantam a segurança dos dados contra acesso de pessoas não autorizadas por qualquer meio.
Em paralelo, também há no Ordenamento Jurídico Brasileiro outras disposições vigentes que tratam o uso e proteção de dados.
Vejamos:
MARCO CIVIL DA INTERNET
É assegurado ao usuário, entre outras garantias:
I – não fornecimento a terceiros de seus dados pessoais, inclusive registros de conexão, e de acesso a aplicações de internet, salvo mediante consentimento livre, expresso e informado;
II – informações claras e completas sobre coleta, uso, armazenamento, tratamento e proteção de seus dados pessoais, que somente poderão ser utilizados para finalidades que: a) justifiquem sua coleta; b) não sejam vedadas pela legislação; e c) estejam especificadas nos contratos de prestação de serviços ou em termos de uso de aplicações de internet;
III – exclusão definitiva dos dados pessoais que tiver fornecido a determinada aplicação de internet, a seu requerimento, ao término da relação entre as partes, ressalvadas as hipóteses de guarda obrigatória de registros previstas nesta Lei;
Consentimento expresso sobre coleta, uso, armazenamento e tratamento de dados pessoais, que deverá ocorrer de forma destacada das demais cláusulas contratuais;
As medidas e os procedimentos de segurança e de sigilo devem ser informados pelo responsável pela provisão de serviços de forma clara e atender a padrões definidos em regulamento, respeitado seu direito de confidencialidade quanto a segredos empresariais.
Em qualquer operação de coleta, armazenamento, guarda e tratamento de registros, de dados pessoais ou de comunicações por provedores de conexão e de aplicações de internet em que pelo menos um desses atos ocorra em território nacional, deverão ser obrigatoriamente respeitados a legislação brasileira e os direitos à privacidade, à proteção dos dados pessoais e ao sigilo das comunicações privadas e dos registros.
Sanções, que podem ser aplicadas de forma isolada ou cumulativa:
I – advertência, com indicação de prazo para adoção de medidas corretivas;
II – multa de até 10% (dez por cento) do faturamento do grupo econômico no Brasil no seu último exercício, excluídos os tributos, considerados a condição econômica do infrator e o princípio da proporcionalidade entre a gravidade da falta e a intensidade da sanção;
III – suspensão temporária das atividades; ou
IV – proibição de exercício das atividades
- O provedor de aplicações de internet constituído na forma de pessoa jurídica e que exerça essa atividade de forma organizada, profissionalmente e com fins econômicos deverá manter os respectivos registros de acesso a aplicações de internet, sob sigilo, em ambiente controlado e de segurança, pelo prazo de 6 (seis) meses, nos termos do regulamento.
- Na provisão de aplicações de internet, onerosa ou gratuita, é vedada a guarda:
I – dos registros de acesso a outras aplicações de internet sem que o titular dos dados tenha consentido previamente; ou
II – de dados pessoais que sejam excessivos em relação à finalidade para a qual foi dado consentimento pelo seu titular.
CÓDIGO DE DEFESA DO CONSUMIDOR
O consumidor tem o direito de acesso às informações existentes em cadastros, fichas, registros e dados pessoais e de consumo arquivados sobre ele, bem como sobre as suas respectivas fontes.
Os cadastros e dados de consumidores devem ser objetivos, claros, verdadeiros e em linguagem de fácil compreensão, não podendo conter informações negativas referentes a período superior a cinco anos.
A abertura de cadastro, ficha, registro e dados pessoais e de consumo deverá ser comunicada por escrito ao consumidor, quando não solicitada por ele.
O consumidor, sempre que encontrar inexatidão nos seus dados e cadastros, poderá exigir sua imediata correção, devendo o arquivista, no prazo de cinco dias úteis, comunicar a alteração aos eventuais destinatários das informações incorretas.
Todas as informações de que trata o caput deste artigo devem ser disponibilizadas em formatos acessíveis, inclusive para a pessoa com deficiência, mediante solicitação do consumidor.
Sanções administrativas:
I – multa;
II – apreensão do produto;
III – inutilização do produto;
IV – cassação do registro do produto junto ao órgão competente;
V – proibição de fabricação do produto;
VI – suspensão de fornecimento de produtos ou serviço;
VII – suspensão temporária de atividade;
VIII – revogação de concessão ou permissão de uso;
IX – cassação de licença do estabelecimento ou de atividade;
X – interdição, total ou parcial, de estabelecimento, de obra ou de atividade;
XI – intervenção administrativa;
XII – imposição de contrapropaganda.
Crimes contra o consumidor aplicáveis:
I – Impedir ou dificultar o acesso do consumidor às informações que sobre ele constem em cadastros, banco de dados, fichas e registros – Pena: Detenção de seis meses a um ano ou multa.
II – Deixar de corrigir imediatamente informação sobre consumidor constante de cadastro, banco de dados, fichas ou registros que sabe ou deveria saber ser inexata – Pena: Detenção de um a seis meses ou multa
PROCON SP
Os fornecedores podem armazenar e compartilhar dados a meu respeito sem meu conhecimento?1
Não. Você deve ser comunicado, por escrito, sobre o armazenamento de informações a seu respeito. O responsável pelo arquivo deve assegurar o seu acesso às informações armazenadas e permitir a retificação de dados incorretos e/ou a supressão daqueles que se mostrem excessivos considerando as finalidades para as quais foi constituído o arquivo.
O compartilhamento de dados com terceiros somente pode ser admitido quando atender à finalidade de uma relação concreta de consumo (cessão de dados pelos serviços de proteção ao crédito para balizar a contratação de produto ou serviço pelo consumidor, cessão de dados para empresa responsável pela entrega de produtos ao consumidor). A cessão de dados para empresas alheias à relação de consumo deve ocorrer somente com a expressa autorização do consumidor.
O fornecedor responde pela coleta e conservação das informações armazenadas, devendo, para atender aos princípios do Código de Defesa do Consumidor, restringir a coleta aos dados que se mostrem pertinentes ao contexto da relação de consumo e manter o arquivo protegido do acesso de estranhos.