Divulgar dado de cliente sem permissão dará multa de até R$ 50 milhões

Empresas que divulgarem dados de clientes, colaboradores e parceiros comerciais sem autorização poderão ser multadas. As penas são estabelecidas pela Lei Geral de Proteção de Dados (LGPD). As regras estão valendo desde domingo, dia 1º de agosto.

Aprovada há três anos, a legislação tem o objetivo de regularizar a forma com que as companhias brasileiras ou multinacionais tratam os dados pessoais, trazendo sanções administrativas como multas, suspensão e até a proibição das atividades relacionadas ao tratamento de dados em caso de não adequação.

As consequências para quem infringir as regras vão desde advertências e multa de até R$ 50 milhões até a obrigatoriedade de eliminação dos dados usados no ato de infração.

Todos os órgãos públicos e empresas privadas que desobedecerem às normas de proteção de dados pessoais serão alvo de fiscalização da Autoridade Nacional de Proteção de Dados (ANPD) e poderão sofrer punições.

A ANPD recentemente apresentou consulta pública sobre as sanções. As punições previstas visam a evitar episódios que possam prejudicar os consumidores, como o caso do megavazamento de 220 milhões de CPFs no início do ano.

A LGPD determina que o usuário precisa ser informado sobre como seus dados são coletados, armazenados e compartilhados, e a empresa deve ter o consentimento deste usuário em casos específicos.

Assim, sem ter registrado de forma clara a finalidade e o fundamento legal, uma empresa não pode, por exemplo, enviar mensagens (conteúdos, promoções, convites, informativos) via WhatsApp sem o aval dos clientes ou terceiros.

De acordo com a advogada Patricia Pena da Motta Leal, da Motta Leal & Advogados Associados, para que possam enviar, dentro da Lei, essas informações dos consumidores, os empresários devem ter a anuência deste usuário.

"Nesse aspecto, precisam também explicar, de modo claro, que dados serão utilizados, bem como o seu objetivo. O consumidor deve ter a alternativa de recusar a utilização das suas informações pessoais. É imperativo que empresas que ainda não se adequaram se atentem às novas normas, pois as punições são severas”, alertou.

A advogada explicou que a multa prevista em Lei pode chegar até a 2% do faturamento da empresa, limitada a R$ 50 milhões por infração. A ANPD pode ainda determinar que a empresa elimine os dados tratados do cliente, do funcionário ou do prestador de serviço.

Os agentes de tratamento de dados pessoais são os responsáveis pela reparação de eventuais danos (patrimonial, moral, individual ou coletivo). Por isso, é essencial que esses agentes adotem medidas de segurança capazes de proteger os dados pessoais tratados contra vazamentos, acessos não autorizados ou qualquer outra situação acidental ou ilícita.

Marco DeMello, CEO e cofundador da PSafe, comentou sobre como a prevenção contra vazamentos de dados é essencial para os negócios: “As pequenas e médias empresas têm sido os grandes alvos dos cibercriminosos em todo o mundo. No entanto, no Brasil, o cenário da cibersegurança é muito mais crítico. Por aqui, os megavazamentos de dados expuseram potencialmente toda a população, o que já nos coloca em cenário de vulnerabilidade diante dos hackers", explica.

Ele ainda acrescenta os perigos dos bancos de dados não blindados a ataques. "Somos um dos países que têm a cibersegurança mais desprezada em todo o mundo, em contrapartida somos também o segundo país do mundo que mais sofre com ciberataques, ficando atrás somente dos EUA”, alerta DeMello.

Apesar de prever penalizações graves, como a multa de até R$ 50 milhões por infração para empresas que violem as regras, DeMello explica que as sanções administrativas somente poderão ser aplicadas após procedimento administrativo que possibilite a ampla defesa, o que incluirá a demonstração da adoção de mecanismos capazes de minimizar o dano voltados ao tratamento seguro e adequado de dados, como 'dfndr enterprise'.

Além das altas multas previstas assustarem as empresas, as que infringirem a LGPD também ficam sujeitas a suspensão das atividades ou até mesmo a proibição total da atuação.

Com relação às multas em decorrência da LGPD, elas podem ir de 2% (dois por cento) do faturamento da empresa ou multa diária, ambas podendo atingir até o valor de até R$ 50 milhões por infração.

Confira abaixo algumas sanções administrativas previstas na LGPD em caso de infração (art. 52):

• suspensão parcial do funcionamento do banco de dados a que se refere a infração por até de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;
• suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração por até 6 (seis) meses, prorrogável por igual período;
• proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados;
• multa simples de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil, com limite de R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
• multa diária (limite de R$ 50 milhões). 

De acordo com DeMello, da PSafe, para evitar multas, é preciso garantir que a empresa esteja em acordo com a LGPD, e que tenha, além de regras/políticas internas de boas práticas e governança quanto ao tratamento e proteção de dados pessoais, uma solução de segurança que utilize inteligência artificial para identificar vazamentos de dados corporativos e alertar sobre ameaças virtuais, como o "dfndr enterprise".

Para descobrir se a empresa já foi vítima de vazamentos de dados gratuitamente, é possível fazer o teste do Verificador de Vazamentos no site do "dfndr enterprise", e, caso já tenha sido vitimado, devem ser seguidas as dicas para remediação imediatamente.

Com informações das assessorias das empresas.