A primeira ordem judicial de busca e apreensão com base na LGPD (Lei Geral de Proteção de Dados Pessoais) aconteceu no dia 10 de junho. Segundo o portal de notícias O Globo – Blog de Lauro Jardim, a medida foi deferida pelo Poder Judiciário de São Paulo em razão da suspeita de utilização indevida de dados de clientes por uma corretora de planos de saúde.
A notícia informa que durante a ação de busca e apreensão foram recolhidos documentos, computadores e celulares na sede da empresa, para análise do uso indevido de dados e responsabilidade da corretora.
Isso representa uma breve demonstração de que a LGPD (Lei Geral de Proteção de Dados Pessoais) está prestes a ganhar mais força, antes mesmo do início das fiscalizações e penalidades previstas para o dia 1º de agosto deste ano. Além disso, essa situação demonstra que a ANPD (Autoridade Nacional de Proteção de Dados) não atuará de forma única, mas terá evidente apoio de todo Poder Judiciário no cumprimento da Legislação.
É importante ressaltar que a LGPD não impede a atuação da Justiça antes de qualquer procedimento iniciado pela ANPD. Por este motivo, desde setembro do ano passado, o Poder Judiciário vem tomando medidas com base na LGPD e essa busca e apreensão em face de uma Corretora de Planos de Saúde só demonstra a efetividade desta atuação.
Assim, a pessoa ofendida em seu direito de titularidade sobre os seus dados pessoais e da privacidade pode acionar o Poder Judiciário, sem a necessidade de comunicar o ilícito à ANPD, o que aumenta a chance de as empresas começarem a ter demandas judiciais envolvendo o uso de dados de seus clientes, como vem acontecendo em São Paulo e outras localidades.
Diante disso, surge a seguinte questão para as empresas:
O QUE DEVO FAZER NO CASO DE UMA DEMANDA JUDICIAL ENVOLVENDO DADOS DOS MEUS CLIENTES?
Diante de uma demanda judicial, é imprescindível a comprovação da adequação da empresa à LGPD. Para tal, recomenda-se reunir todas as evidências do seu Projeto de adequação, Histórico de todas as medidas de Segurança da Informação, Políticas internas e Medidas de governança criadas.
Já em relação aos seus clientes, é imprescindível comprovar o Mapeamento do fluxo de Coleta, Tratamento, Descarte e Retificação dos dados coletados, e registro de todas as tratativas realizadas com o titular (e-mails, mensagens, notas, entregas), evidenciando o consentimento e finalidades da coleta e possibilitando, assim, a completa comprovação do tratamento adequado e uso dentro das finalidades legais.
MAS E SE A MINHA EMPRESA AINDA NÃO ESTÁ ADEQUADA À LGPD, O QUE DEVO FAZER?
- Reunir equipes e mapear operações internas de tratamento de informações;
- Assegurar os direitos garantidos ao titular das informações com adequação das ferramentas sistêmicas;
- Revisar Políticas de Privacidade, Contratos e Termos de Uso para colocar em destaque cláusulas de direitos do titular das informações;
- Revisar contratos com colaboradores internos e com terceiros que tenham acesso ou façam tratamento de informações;
- Detalhar os mecanismos de Segurança das bases de dados, documentando as técnicas usadas;
- Criar equipes internas, indicando-se os agentes de tratamento de dados pessoais;
- Analisar quais serão as providências tomadas para que o tratamento dos dados atenda à lei;
- Criar relatório de impactos à proteção de informações e regras de boas práticas e governança;
- Fazer treinamentos constantes para garantir as boas práticas no tratamento dos dados pessoais;
- Nomear um DPO (Data Protection Officer) como gestor de Proteção de Dados.
Seguindo esses passos sua empresa já pode começar a pensar no Projeto de implementação da LGPD, pois com uma implementação organizada, segura e feita sob medida para o seu negócio, você estará preparado para atuar oferecendo segurança aos dados pessoais dos seus clientes, com base em uma reputação moderna e atualizada.
É possível dizer que o jogo já está valendo e, a partir de agora, as empresas devem ter atenção especial quanto ao manejo dos dados pessoais de seus clientes. O Poder Judiciário foi muito rápido em entender onde aplicar a legislação consubstanciada na LGPD e, ao mesmo tempo, não ficar na dependência das ações tomadas pela Autoridade Nacional de Proteção de Dados (ANPD).
