Apesar de estarmos ouvindo falar sobre a aplicabilidade da Lei geral de Proteção de Dados (LGPD) desde meados do ano de 2018, muitas empresas ainda não se adequaram corretamente às disposições contidas na referida lei. Aliás, arriscamos dizer que a maioria das empresas ainda está fora do que a legislação considera como efetivamente regular.
Este posicionamento das empresas ocorre, muitas vezes, pela esperança que muitos tem de que a legislação “não vai pegar” aqui no Brasil, como já foi o caso de diversas outras leis que acabaram não tendo o efeito pretendido quando da efetiva promulgação.
Até corroborando com este pensamento, tem-se que apesar de LGPD ter sido publicada no ano de 2018, já no inicio de 2021, a Autoridade Nacional de Proteção de Dados (ANPD) ainda não estava regularmente constituída, sendo certo que as multas administrativas somente passaram a ter a possibilidade de serem aplicadas a partir de agosto do ano de 2021, ou seja, quase três anos após a própria vigência da lei.
Hoje, a ANPD já está em plena atuação, inclusive com a divulgação de diversos materiais que ajudam as empresas e até mesmo traz algumas regras diferenciadas para as empresas de pequeno e médio porte. No mais, os órgãos fiscalizadores que auxiliam a ANPD na função de fiscalizar o efetivo cumprimento da lei, também já tem atuado com mais regularidade e, inclusive multado aquelas que estão em desconformidade com a LGPD.
Nos últimos dias, o Procon do estado do Mato Grosso do Sul acabou autuando algumas empresas que atuam com vendas eletrônicas bem conhecidas no mercado nacional, tais como: Leroy Merlin, Privália, James e Centauro.
Ao analisar as autuações, verifica-se que foram encontradas diversas inconsistências nas Políticas de Privacidade e Proteção de Dados disponibilizados nos sites ou aplicativos, inclusive com coletas excessivas de dados, falta de clareza, exatidão e transparência aos titulares de dados, vinculação indevida a programas de fidelização, dentre outras ocorrências que ferem diretamente as normas contidas na LGPD.
Ao longo do último ano, postamos diversas pílulas sobre o tema e acabamos por ressaltar diversos princípios que são a base da LGPD no Brasil, tais como o da finalidade, adequação e necessidade, que acabam estabelecendo as principais diretrizes para a própria coleta dos dados pessoais de pessoas físicas e respectivo tratamento. Entretanto, existem alguns outros princípios também trazidos pelo artigo 6º da LGPD que são de suma importância para assegurar não só a segurança no tratamento dos dados pessoais como também a própria transparência aos respectivos titulares.
Os princípios que regulam esta premissa podem ser elencados como o de livre acesso, qualidade de dados, transparência, prevenção, responsabilização e prestação de contas e a própria segurança da informação.
Neste sentido, é importante esclarecer o fato de que as empresas não podem simplesmente colocarem “no ar” uma Política de Privacidade e Proteção de Dados sem efetivamente constatarem que as informações ali contidas são condizentes com a realidade prática referente a coleta, destinação e efetivo tratamento dos respectivos dados.
De forma extremamente resumida, inclusive com o objetivo de trazer aos titulares e próprios controladores e operadores de dados pessoais em geral, uma forma mais fácil de entender o objetivo precípuo da LGPD, pode-se dizer que os princípios do livre acesso, qualidade de dados e transparência visam garantir aos titulares de dados o amplo acesso aos dados que efetivamente foram coletados, a forma, como e por qual razão são tratados pelas empresas, inclusive sendo garantido pela lei a necessidade de clareza, exatidão e transparência quanto a todo o processo que envolve o tratamento dos dados, desde a coleta até a efetiva eliminação.
Já os princípios da prevenção, responsabilização e prestação de contas e segurança da informação, de certo modo, visam que as empresas estabeleçam medidas organizacionais, administrativas que garantam aos respectivos titulares o armazenamento e tratamento de dados pessoais de forma a não vê-los utilizados de forma indevida, excessiva e sem a devida segurança.
Assim, o que se pode concluir dessas fiscalizações e autuações do Procon/MS é que a LGPD está em plena vigência e, apesar de as empresas não se encontrarem proibidas de coletarem e tratarem dados pessoais de pessoas físicas, precisam assegurar que os princípios básicos previstos em lei sejam cumpridos, de modo a garantir transparência, clareza e segurança na coleta e tratamento dos respectivos dados.
Não adianta, portanto, inserir informações incompletas, inverídicas ou contraditórias nas referidas Políticas externas e, na prática, utilizar dados em excesso, sem a devida adequação e/ou necessidade ao fim pretendido, em desacordo com outras legislações de modo a ferir direitos garantidos aos cidadãos ou, ainda, não dar a devida clareza e exatidão acerca da forma, finalidade e segurança efetivamente utilizada para o tratamento dos respectivos dados pessoais.
A dica de ouro, então, é que as empresas se apressem na tentativa de se adequarem e ficarem conformes ao que a legislação prevê para a coleta e tratamento de dados pessoais, respeitando os princípios básicos que norteiam a privacidade e proteção de dados.