A nova lei geral de proteção de dados (lei 13.709/18)1 (“lei”), sancionada em agosto deste ano, trará alterações que repercutirão diretamente no dia-a-dia das empresas brasileiras que exercem suas atividades econômicas por meio da utilização de dados pessoais. Dentre as alterações, destaca-se a responsabilidade objetiva dos controladores e/ou operadores de dados em caso de dano ao titular dos dados ou a terceiros.

Inspirada na regulamentação europeia sobre proteção de dados, conhecida como GDPR2, a lei busca garantir o direito à privacidade dos titulares dos dados e estabelecer regras claras para as empresas sobre tratamento de dados pessoais, aumentando, assim, a segurança jurídica de todos os envolvidos.

Devido às inúmeras novidades trazidas pela Lei, ela apenas entrará em vigor em 14 de fevereiro de 2020. A intenção do legislador é permitir que os destinatários da Lei tenham tempo suficiente (18 meses) para se adequar às novas regras.

Por se tratar de uma lei que visa regular o uso de dados pessoais, pode-se ter a impressão de que ela repercutirá apenas nas empresas de tecnologia da informação e/ou empresas de publicidade e marketing que utilizam banco de dados pessoais para atuação no mercado. Contudo, este é um comum e perigoso equívoco.

Em realidade, a lei repercutirá diretamente em quase todo o meio corporativo, pois seus destinatários são pessoas físicas e jurídicas que obtenham e tratem dados pessoais de terceiros em solo nacional, por meios digitais ou não, para exercer atividades com fins econômicos (art. 3º, inciso II, da lei).

A maioria das empresas brasileiras, seja de pequeno, médio ou grande porte, armazena e trata dados, não-digitais e digitais, de terceiros, para exercer suas atividades e, portanto, é destinatária da lei.

Estas empresas deverão observar os princípios e regras estabelecidas pela lei ao tratarem dados pessoais, sob pena de sofrerem sanções administrativas (art. 52 e seguintes da lei) ou serem responsabilizadas (art. 42 e seguintes da lei).

Dentre as sanções administrativas previstas pela lei, destaca-se a possibilidade de aplicação de multa simples no valor de até 2% do faturamento da empresa no seu último exercício, limitada, no total, a R$50 milhões por infração cometida.

Quanto a responsabilidade, a Lei estabelece que tanto o controlador, quanto o operador dos dados, será responsabilizado caso cause dano patrimonial, moral, individual ou coletivo, durante o exercício de atividade de tratamento de dados pessoais.

Por isso, considerando que a lei prevê a possível responsabilização dos controladores e operadores de dados em caso de dano decorrente de vazamento ou uso inadequado/indevido dos dados, recomenda-se que as empresas brasileiras obtenham informações sobre as possíveis medidas que deverão adotar para que estejam em adequação com as obrigações estabelecidas pela lei, as quais poderão variar de acordo com as atividades exercidas por cada empresa.

Fonte: Contábeis