Por Carmina Hissa*
As empresas não estão apenas na mira dos hackers, mas também do judiciário que cobra caro às empresas que ainda não se adequaram.
Observar a movimentação do Judiciário quanto as decisões e as exigências do cumprimento da LGPD é fundamental para a saúde financeira, imagem e reputação da empresa.
E aqui é importante ressaltar que a empresa que recebe como entregáveis da sua adequação algumas planilhas e modelos padrões vai ter grandes problemas quando for fazer prova de que está de acordo com a LGPD.
Recentemente tivemos algumas decisões da Justiça do Trabalho em Minas Gerais e no Rio Grande do Sul que demonstram na prática a necessidade de as empresas estarem devidamente adequadas a LGPD.
Trago como primeira reflexão e alerta o exemplo da Cacau Show de Minas Gerais que foi condenada a pagar indenização a uma funcionária que teve seu número de celular disponibilizado no site da empresa.
As empresas precisam adequar seus sites da forma correta e nesse caso seria uma política de privacidade focada na empresa, de forma personalizada, customizada e não em um modelo “padrão” qualquer, visto que cada empresa tem suas especificidades, coletam dados e documentos de forma e finalidade diferentes. É importante destacar que na confecção da política de privacidade se detecta os erros e se realiza a minimização da coleta dos dados solicitados pela empresa.
Nesse caso, na confecção e analise criteriosa de uma consultoria teria sido detectado que o telefone disponibilizado era de uma funcionária e a consultoria, com experiência e expertise, teria solicitado a exclusão imediatamente daquele número.
São os detalhes que fazem a diferença. É no olhar personalizado que nasce o diferencial e gera valor agregado à empresa, ou nesse caso, menos demandas e condenações judiciais.
A segunda reflexão diz respeito a sentença na ação civil pública movida por um sindicato na Justiça do Trabalho da 4ª Região que impacta em todas as empresas que ainda não se adequaram e nos ensina que:
- Não adianta alegar que a legislação depende de regulamentação porque de acordo com o entendimento do Juízo a vigência da LGPD está prevista no artigo 65 da referida legislação;
- Não adianta alegar que a competência sobre privacidade e proteção de dados é exclusiva da ANPD visto que não existe tal prerrogativa no artigo 55-J da LGPD.
- De acordo com o artigo 3 e seus incisos as pessoas jurídicas que tratam dados pessoais estão submetidas a LGPD, salvo as exceções contidas no artigo 4 da LGPD.
Assim sendo a sentença manda que:
- A empresa indique o Encarregado de dados, na forma do artigo 41 da LGPD;
- A empresa implemente e comprove as praticas relacionadas à segurança e sigilo dos dados, nominando quais as medidas técnicas e administrativas adotadas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão, bem como a garantia de que os Operadores também garantam a segurança dos dados pessoais e sensíveis a que tenham acesso.
A sentença condenou a reclamada, caso não comprove nos autos o cumprimento das obrigações impostas, no prazo de 90 (noventa) dias multa diária de R$ 1.000,00 e o pagamento de 10% de honorários sucumbenciais sobre o valor atualizado da causa.
Fica a dica.
Alguma dúvida? Manda um e-mail ou entra em contato comigo.
Carmina Hissa, Sócia Fundadora de Hissa & Galamba Advogados. Especialista em Direito Cibernético e em Privacidade e Proteção de dados. Data Protection Officer-DPO. Palestrante. Instagram @carminahissa
