A Justiça do trabalho da cidade de Montenegro1, do Estado do Rio Grande do Sul, condenou uma cooperativa por não estar adequada à LGPD2, sobretudo por não ter um encarregado de dados pessoais e não comprovar práticas relacionadas à segurança e sigilo de dados pessoais de seus empregados e cooperados.
A ação coletiva foi proposta pelo sindicato contra uma cooperativa de citricultores, alegando que esta realiza o tratamento de dados pessoais de seus cooperados e empregados e os compartilha com outros controladores e operados sem adotar a proteção necessária, além de não ter um encarregado nomeado, responsável pelos dados pessoais.
Na ação, foram pleiteados inúmeros pedidos, dentre eles, que a cooperativa indicasse quais dados pessoais realiza o tratamento, as bases legais, modalidades e ciclos de vida, indicação para quais países e em que circunstâncias os dados eram transferidos; fornecimento de todos os terceiros com quem tenha havido compartilhamento, além da finalidade e indicação de medidas de treinamento e conscientização para funcionários internos.
Embora a decisão seja de primeira instancia, passível de reforma pelo tribunal, denota-se que a LGPD está sendo aplicada em todos os âmbitos legais e não somente a ANPD (Autoridade Nacional de Proteção de Dados) é a única responsável em zelar pela sua aplicação.
A LGPD trouxe luz a forma como as empresas manipulam dados pessoais, trazendo mais segurança aos seus titulares e maior transparência quanto à sua utilização e compartilhamento com terceiros.
Tanto empresas, como pessoas físicas, que tratam dados pessoais que não estiverem adequadas à LGPD poderão sofrer punições que variam de advertência até aplicação de multa de até 2% do faturamento, limitada a quantia de R$ 50.000.000 milhões por infração. E, ainda, havendo um vazamento de dados pessoais ou uma violação de segurança aos dados, além de sofrerem aplicação das sanções administrativas pela ANPD, terão a reputação denegrida, exposta e poderão ser condenadas a indenizarem por danos que causarem aos titulares dos dados.
Nesse sentido, sugere-se que medidas devem ser urgentemente adotadas pelas organizações, dentre elas:
1. Indicação e contato do responsável (encarregado - DPO) pelo tratamento de dados pessoais, publicados no site da empresa.
2. Publicação de aviso ou política de privacidade da empresa.
3. Identificação dos titulares de dados pessoais e operações de tratamento.
4. Celebração de clausulados e ajustes em contratos vigentes para definir responsabilidade aos agentes de tratamento (controlador e operador de dados).
5. Identificação das finalidades e base legais para o tratamento de dados pessoais.
6. Descrição dos tipos de dados tratados.
7. Identificação de compartilhamento de dados pessoais e de transferência internacional
8. Prazo de retenção dos dados pessoais
9. Medidas técnicas e organizacionais de segurança da informação.
10. Evidências de conscientização sobre a LGPD e a privacidade e proteção de dados pessoais.
Por isso, é de suma importância que todos tenham conhecimento da LGPD para estarem em conformidade com as novas regras, levando-se sempre em consideração a privacidade na coleta e/ou armazenamento de documentos que contenham dados pessoais.
_____
1 Processo n. 0020043-80.2021.5.04.0261
2 Lei 13.709/2018 (http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm)