A prática de vender ou compartilhar informações de clientes, colaboradores e parceiros era uma realidade comum no meio corporativo. No entanto, essa prática passou a ser inaceitável com a criação de legislações específicas para a proteção dos dados pessoais. No Brasil, a Lei Geral de Proteção de Dados (LGPD) foi criada com o objetivo de garantir a privacidade dos indivíduos, estabelecendo normas para a coleta, armazenamento e uso dessas informações por empresas e órgãos públicos.
Aprovada em 2018 e em vigor desde setembro de 2020, a LGPD foi inspirada na legislação europeia GDPR (General Data Protection Regulation). Com sua implementação, tornou-se obrigatório que as empresas invistam em cibersegurança e adotem sistemas de compliance para prevenir, identificar e mitigar eventuais violações de dados pessoais.
O não cumprimento das exigências da LGPD pode resultar em penalidades severas, como suspensão das atividades de coleta de dados e multas que podem alcançar o valor de R$ 50 milhões. Informações básicas como nome, idade, telefone, RG, CPF e endereço são consideradas dados pessoais. Já os chamados dados pessoais sensíveis incluem informações como fotos, dados de menores de idade, filiação a organizações religiosas, filosóficas ou políticas, além de dados referentes à saúde, vida sexual, características genéticas ou biométricas e origem racial ou étnica.
Casos concretos já demonstram as consequências do descumprimento da lei. A construtora Cyrela, por exemplo, foi condenada a pagar uma indenização de R$ 10 mil por compartilhar dados de um cliente com outras empresas. O comprador, após adquirir um imóvel, passou a ser assediado por instituições financeiras e empresas de decoração que possuíam informações sobre sua recente aquisição. Outro exemplo relevante foi o da empresa Atlas Quantum, que enfrentou uma ação civil pública após o vazamento de dados de mais de 260 mil clientes, resultando em um pedido de multa de R$ 10 milhões pelo Ministério Público do Distrito Federal e Territórios. A operadora de telefonia Vivo também esteve envolvida em um caso de vazamento de dados que expôs informações pessoais de 24 milhões de usuários, podendo ser penalizada com multa de até R$ 10 milhões.
A LGPD estabelece dez princípios fundamentais para o tratamento adequado dos dados pessoais. Entre eles estão a finalidade, que exige que os dados sejam coletados para propósitos legítimos e específicos; a adequação, que determina que o tratamento esteja alinhado com as finalidades informadas ao titular; e a responsabilização e prestação de contas, que obriga as empresas a adotarem medidas que comprovem o cumprimento das normas de proteção de dados. Outros princípios incluem a não discriminação, a necessidade de limitar o tratamento ao mínimo necessário, a segurança para evitar acessos não autorizados, a qualidade e transparência dos dados, o livre acesso para consulta dos titulares, a prevenção de danos e a confidencialidade, garantindo que as informações sejam acessadas apenas por pessoas autorizadas.
O conceito de privacidade está diretamente ligado ao direito de controle sobre as informações pessoais. Segundo a Constituição Federal, a privacidade, a vida privada, a honra e a imagem das pessoas são invioláveis, garantindo indenização por danos materiais e morais em caso de violação. Assim, é essencial que as empresas adotem medidas rigorosas para garantir a proteção de dados, prevenindo incidentes como vazamentos e acessos indevidos.
No ambiente corporativo, a segurança da informação deve ser uma prioridade. Com a popularização do trabalho remoto, impulsionado pela pandemia de COVID-19, os ataques cibernéticos aumentaram drasticamente. De acordo com a empresa de segurança digital Kaspersky, entre fevereiro e abril de 2020, os ataques direcionados a ferramentas de acesso remoto cresceram 333%. Esse cenário reforça a necessidade de investimentos em proteção digital para evitar comprometimentos de dados sensíveis.
Diversas empresas já enfrentaram sanções severas devido a falhas na proteção de dados. O Banco Inter, por exemplo, sofreu um vazamento que expôs informações de 19 mil correntistas e foi obrigado a pagar um valor significativo como parte de um acordo com o Ministério Público. Outras gigantes da tecnologia, como Uber, Google e Facebook, também foram penalizadas. O Uber recebeu uma multa de € 50 milhões por não esclarecer o uso de dados dos usuários, enquanto o Google foi multado em US$ 148 milhões após um vazamento que afetou 57 milhões de clientes. O Facebook, por sua vez, teve que pagar US$ 5 bilhões por não atender a pedidos de proteção da privacidade de seus clientes.
A Autoridade Nacional de Proteção de Dados (ANPD) é o órgão responsável por fiscalizar e aplicar as sanções previstas na LGPD. As penalidades variam desde advertências e multas simples de até 2% do faturamento da empresa, limitadas a R$ 50 milhões por infração, até bloqueio ou eliminação dos dados pessoais tratados de forma inadequada. Além disso, a legislação brasileira estabelece um escopo territorial abrangente, aplicando-se a qualquer operação de tratamento de dados realizada em território nacional ou que envolva cidadãos brasileiros, independentemente da localização da empresa responsável pelo tratamento.
Recentemente, a concessionária de energia Enel Distribuição São Paulo foi alvo de um ataque hacker que resultou no vazamento de dados de 300 mil clientes. As informações comprometidas incluíam nomes completos, CPFs, contas bancárias e histórico de consumo de eletricidade. O caso está sob investigação e pode resultar em penalidades severas para a empresa.
A LGPD representa um marco importante para a proteção da privacidade e segurança da informação no Brasil. A conformidade com suas diretrizes não apenas evita penalidades, mas também fortalece a relação de confiança entre empresas e consumidores. Em um mundo cada vez mais digital, garantir a proteção dos dados pessoais tornou-se essencial para a sustentabilidade dos negócios e para a preservação dos direitos individuais.
