Lei de proteção de dados é base para aplicação de multas milionárias

No Brasil, sanções administrativas devem começar a partir de agosto de 2021, mas consumidores já recorrem à Justiça com base na LGPD

R$ 228 milhões. Este foi o valor de multa paga neste ano pela varejista sueca H&M ao General Data Protection Regulation (GDPR).

A penalidade ocorreu devido à coleta, na Alemanha, de informações de colaboradores e familiares, como práticas religiosas e histórico de doenças.

O Regulamento Geral sobre a Proteção de Dados (GDPR) entrou em vigor em maio de 2018 na União Europeia para estabelecer regras em favor da proteção da privacidade e de dados pessoais.

E está a pleno vapor. Até final de janeiro deste ano, as multas com base nesta legislação chegavam a 114 milhões de euros (R$ 710 milhões).

As sanções administrativas às empresas, assim como aconteceu no caso da H&M, só poderão ocorrer no Brasil a partir de agosto de 2021.

Isso porque a autoridade competente para impor as multas ainda está em fase de constituição e depende de regulamentação.

Mas, com base na Lei Geral de Proteção de Dados Pessoais (LGPD), a nova legislação brasileira, que regula o tratamento de informações pessoais desde setembro deste ano, os brasileiros estão mais atentos ao uso de seus dados e recorrendo à Justiça.

CASOS NO BRASIL

A Cyrela foi condenada pela Justiça a pagar R$ 10 mil em sentença proferida no último dia 29 de setembro, com base em uma ação de indenização por dano moral.

A ação trata do compartilhamento de dados pessoais, sem o consentimento de cliente. A construtora recorreu e aguarda nova decisão da Justiça.

Os fundamentos legais para determinar a multa da construtora estão no Código de Defesa do Consumidor (CDC) e na LGPD.

A Netshoes, e-commerce de artigos esportivos, pagou, em outubro de 2018, multa de R$ 500 mil ao Ministério Público do Distrito Federal e Territórios (MPDFT).

Firmou ainda um Termo de Ajustamento de Conduta (TAC) por conta do vazamento de dados de quase dois milhões de clientes.

No final de novembro, foi a vez da Justiça do Distrito Federal determinar que a Serasa Experian suspenda a venda de dados pessoais de consumidores.

A decisão foi motivada por uma ação civil pública do MPDFT que entende que um serviço oferecido pela empresa fere a LGPD. O preço pago por dado pessoal seria de R$ 0,98.

ADAPTAÇÃO ÀS REGRAS

Para evitar multas milionárias que começam a pipocar em vários países, empresas brasileiras se preparam para se adequar à nova legislação.

A lei 13.709, de 14 de agosto de 2018, dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, para proteger os direitos de liberdade e privacidade.

O compartilhamento de dados pessoais, em regra, de acordo com a lei, deve ser feito com o consentimento do usuário.

É um dos direitos do titular dos dados pessoais ser informado de eventual compartilhamento, como descreve o artigo 18, inciso VII, da LGPD.

Para ter essa permissão, existe uma serie de requisitos que precisam ser transmitidos pelas empresas de forma simples, clara e completa.

O cliente de uma loja física ou virtual, por exemplo, precisa ser informado sobre quais entidades públicas e ou privadas terão acesso aos seus dados.

E também ser notificado no caso de haver a portabilidade de informações para outros fornecedores de produtos ou serviços.

DÚVIDAS

Imagine uma rede de lojas que terceiriza a sua operação de crediário. Neste caso, lojistas levantam as seguintes questões.

Com a LGPD, é preciso ter a permissão do cliente para que os dados sejam transferidos? E se houver a troca da prestadora do serviço financeiro?

Lucas Souza dos Anjos, do escritório Cerveira, Bloch, Goettems, Hansen e Longo, que está debruçado sobre a lei desde a sua criação, tem o seguinte entendimento.

“No caso de crediário, entendo que não será necessário pedido de consentimento específico para compartilhar dados cadastrais (nome, endereço, CPF). Será preciso apenas informar o cliente sobre o compartilhamento.”

As bases legais para o seu entendimento, diz ele, estão expressas no trecho da própria lei que trata de “legítimo interesse” (artigo 7º inciso IX) ou ainda de “proteção ao crédito” (artigo 7º inciso X) das empresas.

Toda a lei que vem com o objetivo de proteger as pessoas é bem vinda, de acordo com José Domingos Alves, superintendente da Lojas Cem, rede com cerca de 14 milhões de clientes cadastrados.

No caso da LGPD, diz ele, há dúvidas. Uma pessoa que está inadimplente exige a retirada de seus dados do cadastro. A empresa pode ou não negar a retirada?

“A lei diz que o cliente tem direito de tirar dados do cadastro e não cita em caso de ser ou não devedor. Há muita polêmica em torno dessa legislação”, diz Alves.

ASSESSORIA JURÍDICA

Com cerca de 20 mil clientes cadastrados, a rede de lojas UVLINE contratou uma consultoria jurídica para se adequar às exigências da lei.

“Cerca de 90% das nossas vendas acontecem por meio de cartão de crédito. Não pegamos dados de clientes no ato do pagamento, mas temos cadastro de fidelidade”, afirma Luiz Cezar Machado, gerente financeiro e controladoria da UVLINE.

A loja, assim como quase todas as outras, costuma enviar SMS para a clientela informando sobre descontos em razão de pontuação adquirida em compras feitas.

“Já tínhamos preocupação com a segurança de dados e, com a LGPD, estamos revendo nosso sistema para que os clientes se sintam ainda mais seguros.”

O departamento jurídico da Lojas Cem também estuda a LGPD, apesar de possuir um sistema capaz de armazenar com segurança os dados de clientes, de acordo com Alves.

É bom lembrar, diz ele, que a LGPD vale não apenas para consumidores, mas também para os colaboradores de empresas.

Vamos supor que uma empresa pega em um currículo os dados pessoais de um potencial candidato a uma vaga e faz consulta para a checagem de informações.

Neste caso, de acordo com Souza dos Anjos, não é necessário pedir consentimento da pessoa para fazer a verificação.

“A empresa está legitimada a fazer a verificação por meio de base legal de execução de contrato”, afirma.

Outra situação em que não é necessário o consentimento, diz ele, acontece quando uma empresa faz promoção e dispara a informação para um cliente que já compra na loja.

Neste caso, diz, a empresa pode se valer de outra base legal que é o interesse legítimo de vender algo para quem já mostrou interesse em determinado produto na loja.

NO MUNDO

Souza dos Anjos diz que o Brasil não caminha por terreno desconhecido com a LGPD, que, aliás, foi inspirada pela legislação europeia.

Em meados de 2019, de acordo com ele, 109 países já possuíam leis de proteção de dados pessoais, incluindo Áustria, Bélgica, República Checa, Finlândia, Hungria, Itália, Suíça e Inglaterra.

Além do consumidor e ou do colaborador das empresas, quem deve sair ganhando com a nova legislação por aqui e no mundo são os escritórios de advocacia.

Especialistas em direito empresarial estão sendo cada vez mais demandados para destrinchar o ‘juridiquês’ da LGPD e preparar as empresas para evitar multas milionárias do tipo da H&M.

Compartilhar