A Lei Geral de Proteção de Dados (LGPD) entrou em vigor em 2018, mas ainda encontra resistência por parte de muitos empresários que questionam a necessidade de se adequar a ela e sua aplicação em seus negócios. No entanto, recentes condenações judiciais vêm reforçando a importância da LGPD e sua aplicabilidade a todas as empresas que lidam com dados pessoais.
Uma das condenações mais notáveis foi a imposta à União, Caixa Econômica Federal (CEF), DataPrev e Autoridade Nacional de Proteção de Dados (ANPD), que foram obrigadas a pagar indenização por danos morais individuais e coletivos, além de cumprir obrigações relacionadas à governança, adequação à LGPD e segurança digital.
É crucial destacar que essa condenação não se baseou no tamanho ou natureza jurídica das empresas rés, mas sim nos princípios e fundamentos da LGPD, que são aplicáveis a todas as pessoas jurídicas brasileiras que lidam com dados pessoais. Isso estabelece um precedente importante para a responsabilidade compartilhada entre controladores (quem toma decisões sobre o tratamento de dados) e operadores (quem realiza o tratamento em nome dos controladores).
Em outras palavras, a decisão judicial determina que tanto o controlador quanto o operador são solidariamente responsáveis por danos causados em decorrência de infração à LGPD. Isso significa que, se uma pessoa jurídica A armazenar os dados de uma pessoa jurídica B e ocorrer um incidente de segurança, ambas as partes são responsáveis pelos danos, mesmo que o incidente seja causado por terceiros.
Além das sanções financeiras, as rés também foram obrigadas a comprovar medidas de governança, mapeamento dos dados e pontos de risco, transparência aos titulares dos dados e implementação de medidas de segurança digital e da informação. Embora essas medidas possam parecer menos impactantes do que as multas financeiras, elas têm implicações significativas, especialmente em termos de reputação empresarial.
A aceitação pública da responsabilidade por falhas na proteção dos dados dos clientes e a necessidade de tomar medidas urgentes de segurança e adequação podem prejudicar a reputação de uma empresa de maneira tão ou mais custosa do que as indenizações individuais.
No entanto, é importante destacar que os controladores e operadores não são automaticamente responsabilizados por incidentes de segurança. Eles podem se eximir dessa responsabilidade se puderem comprovar que seguiram as condições estabelecidas pela LGPD, ou seja, se documentarem de forma adequada que não violaram a LGPD ou que o incidente foi causado exclusivamente pelo titular dos dados ou por terceiros.
Para isso, é fundamental mapear o fluxo de dados dentro da empresa e documentar as medidas de segurança e adequação implementadas. Isso pode ser feito durante o processo de implementação de um programa de adequação à LGPD, conduzido por consultores e advogados especializados. Dessa forma, as empresas que lidam com dados pessoais podem reduzir ou eximir sua responsabilidade em caso de incidentes de segurança.
Em resumo, a LGPD é uma legislação crucial que todas as empresas devem levar a sério. As recentes condenações judiciais demonstram que a aplicação da lei está se tornando mais efetiva, e a responsabilidade compartilhada entre controladores e operadores é uma realidade. Portanto, investir em conformidade com a LGPD não apenas protege os dados pessoais dos clientes, mas também protege a reputação e a sustentabilidade dos negócios.