No ano de 2018, foi sancionada a Lei Geral de Proteção de Dados, (Lei nº 13.709/2018 – “LGPD”), regulando as práticas relacionadas ao tratamento de dados pessoais de forma geral e não mais esparsa e setorial, como até então o direito à privacidade e proteção de dados era regulado no Brasil. Em 18 de setembro de 2020, a LGPD entrou em vigor, com exceção dos artigos 52, 53 e 54 da LGPD, que tratam das sanções administrativas e estão em vigor desde o dia 1º de agosto de 2021, na forma da Lei nº 14.010/2020.
A LGPD estabelece um novo marco legal a ser observado nas operações de tratamento de dados pessoais e prevê, entre outros, os direitos dos titulares de dados pessoais, as bases legais aplicáveis à proteção de dados pessoais, os requisitos para obtenção de consentimento, as obrigações e requisitos relativos a incidentes de segurança e vazamentos e a transferências de dados, bem como a autorização para a criação da Autoridade Nacional de Proteção de Dados, responsável por elaborar diretrizes e aplicar as sanções administrativas, em caso de descumprimento da LGPD. No dia 26 de agosto de 2020, o executivo federal editou o Decreto nº 10.474/2020 aprovando a estrutura regimental e o quadro demonstrativo dos cargos em comissão e das funções de confiança da Autoridade Nacional de Proteção de Dados (“ANPD”).
A Companhia coleta, utiliza, processa, armazena e gerencia dados pessoais no curso normal de seus negócios. Tais dados pessoais podem vir a ser tratados em desacordo com a legislação e estão sujeitos a incidentes de segurança, em especial invasão, violação, bloqueio, sequestro ou vazamentos. A Companhia deve também providenciar um ambiente seguro para o tratamento de dados dos titulares. O investimento para manutenção das condições técnicas e administrativas para a segurança da informação e proteção de dados pessoais na Companhia também será necessário, inclusive para a sustentação de sua estrutura de governança corporativa de proteção de dados pessoais. Ainda, conforme a LGPD, a Companhia tem o dever legal de manter um canal de comunicação com os titulares dos dados pessoais sobre os quais realiza atividades de tratamento.
A LGPD também estabelece que as seguintes informações devem ser fornecidas aos titulares de dados, inclusive por meio de avisos de privacidade: (i) finalidade(s) específica(s) do tratamento; (ii) meios e duração do tratamento; (iii) identificação do encarregado pelo tratamento de dados; (iv) informações de contato do encarregado pelo tratamento de dados; (v) informações a respeito do compartilhamento de dados pessoais com terceiros e a finalidade; e (vi) responsabilidade dos agentes de tratamento envolvidos.
Desde agosto de 2021, com a entrada em vigor das sanções da LGPD, a Companhia e suas subsidiárias poderão estar sujeitas às sanções, de forma gradativa, isolada ou cumulativamente, de (i) advertência, com indicação de prazo para adoção de medidas corretivas, (ii) obrigação de divulgação de incidente, (iii) suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador, (iv) suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, (v) bloqueio temporário e/ou eliminação de dados pessoais, e (vii) multa de até 2% (dois por cento) do faturamento da empresa, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, até o montante global de R$50.000.000,00 (cinquenta milhões de reais) por infração.
Independentemente da aplicabilidade das sanções administrativas, o descumprimento de quaisquer disposições previstas na LGPD tem como riscos: (i) a propositura de ações judiciais, individuais ou coletivas, pleiteando reparações de danos decorrentes de violações, baseadas não somente na LGPD, mas também na legislação esparsa e setorial sobre proteção de dados ainda vigente; e (ii) a aplicação das penalidades previstas no Marco Civil da Internet, em caso de violação de suas disposições, notadamente as regras de segurança do armazenamento online da informação.
Além disso, a Companhia pode ser responsabilizada por danos materiais, morais, individuais ou coletivos causados e ser considerada solidariamente responsável por danos materiais, morais, individuais ou coletivos causados pela Companhia e suas subsidiárias, devido ao não cumprimento das obrigações estabelecidas pela LGPD. Desta forma, falhas na proteção dos dados pessoais tratados pela Companhia, bem como a inadequação à legislação aplicável, podem acarretar multas elevadas, divulgação do incidente para o mercado, eliminação dos dados pessoais da base, e até a suspensão de suas atividades de tratamento, o que poderá afetar negativamente a reputação; imagem e os resultados da Companhia.