ARTIGOS
A LGPD, suas punições e os ISPs
Por Marielen Cristiane Estevo (*)
30/08/2021

Em vigor desde setembro de 2020, a Lei Geral de Proteção de Dados (LGPD) estabelece obrigações para empresas de todos os portes quanto à segurança e uso dos dados de terceiros, particularmente os classificados como pessoais, ou seja, os que possibilitam a identificação de um indivíduo. Embora já tenha motivado centenas de ações na Justiça, suas penalidades só começaram a ser aplicadas neste mês de agosto, o que impõe urgência aos que não contemplaram as adequações que terão de realizar para atender às determinações legais.

Os PPPs se destacam negativamente neste sentido e, além das punições aplicáveis a empresas de outros segmentos – que chegam a multas de 2% do seu faturamento limitadas a R$ 50 milhões – podem ter suas atividades inviabilizadas se expostos às sanções da lei.

Mais preocupados que os provedores de Internet estão as consultorias que lhes prestam assessoria regulatória, que observam um entendimento geral de que as adequações necessárias limitam-se a ajustes contratuais. De fato, clientes devem ser comunicados sobre a guarda de seus dados, eventuais compartilhamentos necessários à prestação dos serviços ou cumprimento de obrigações regulatórias, período porque estarão armazenados e para que fim. A lei, no entanto, traz implicações muito maiores e mais abrangentes.

O principal risco que a lei traz a estas empresas é o vazamento de dados cadastrais. Por disporem de amplas carteiras de clientes, provedores são alvos potenciais de ataques de hackers. Estes, além de divulgarem na rede dados como nomes, endereços, CPFs, como forma de exaltarem suas ações, também os comercializam.

Esses vazamentos já eram passíveis de multas e outras sanções pelo Marco Civil da Internet. Porém, a entrada em vigor da LGPD traz novas ferramentas de fiscalização e punição, bem como canais para denúncias, o que eleva os riscos às empresas que não dispuserem de políticas e sistemas voltados à segurança de seus arquivos e suas redes.

As informações transmitidas pelos clientes não constituem o maior dos riscos para os provedores. A neutralidade de suas redes, prevista pelo Marco Civil da Internet, faz com que eles não interfiram no tráfego de dados. No entanto, enquanto o internauta navega, seu IP – classificado como dado pessoal pela LGPD – pode ser acessado por criminosos.

Sistemas de cybersegurança nunca são infalíveis. Não é raro a imprensa noticiar casos de grandes grupos que, mesmo dispondo das melhores – e mais caras – ferramentas do mercado, tiveram dados de seus clientes divulgados na web por hackers. Isso não exime empresas de menor porte da adoção de soluções neste sentido. Além de exigência legal, a adoção desta e de outras ações voltadas à proteção de dados tem sido reconhecida pela Justiça como atenuante e até razão para absolvição de réus em ações, ainda em primeira instância, baseadas na LGPD.

Tão importante quanto a prevenção a ataques externos é a restrição das pessoas da empresa que terão acesso a determinados tipos de dados, sejam de clientes, colaboradores ou prestadores de serviço. Neste sentido, as informações devem ser classificadas e, conforme seu nível de confidencialidade, restritas a pessoal previamente autorizado. Isso não se aplica apenas a arquivos digitalizados. Dados pessoais podem constar em documentos físicos, que também devem dispor de hierarquias quanto a quem os acessará.

Algumas informações, porém, têm de constar em documentos que são acessados por pessoal externo. Não é raro, por exemplo, ISPs de menor porte emitirem faturas físicas onde constam informações como nome e endereço de clientes. Nesses casos, os dados devem ser anonimizados, a fim de que não possibilitem a identificação de seu proprietário. Essa prática sempre deve ser adotada quando as informações passam por público externo.

Outra determinação da LGPD a todas as empresas é a designação de um profissional para a função de Data Protection Officer (DPO). Consiste no encarregado de dados, profissional que prestará informações às pessoas que queiram saber sobre a existência ou não de suas informações em arquivos internos, o uso que se faz delas e atender à Autoridade Nacional de Proteção de Dados, agência reguladora criada para o cumprimento da lei.

PPPs, na sua maioria, dispõe de poucos funcionários e colaboradores, o que dificulta a designação de um profissional para a função. Ocorre que a lei não traz especificações sobre o DPO. Além de não estabelecer uma formação necessária, possibilita que a atividade se sobreponha a outras exercidas por alguém na empresa. Nestes casos, o mais indicado é que a atribuição recaia sobre alguém que disponha de amplo acesso aos arquivos, como gestores administrativos, de RH ou do atendimento a clientes. A lei possibilita também que o DPO seja terceirizado.

A LGPD garante ao titular exigir que seus dados sejam apagados imediatamente quando não forem essenciais para o fornecimento de um serviço ou produto. Essa possibilidade, porém, conflita com outras obrigações dos ISPs, que devem manter essas informações arquivadas por no mínimo um ano, como previsto pelo Marco Civil da Internet, e por cinco anos, conforme o Código Civil. O período maior de retenção deve ser comunicado aos clientes, em contratos ou aditivos, bem como as razões que o justificam.

Dentre as punições previstas pela LGPD, consta o bloqueio do acesso aos arquivos de dados pelos infratores. No caso dos ISPs, isso impossibilita a prestação dos serviços e a realização de cobranças. Desta forma, a penalização financeira pode superar as multas estabelecidas pela lei. Com exigências específicas, essas empresas devem buscar assessoria regulatória especializada, a fim de que a observância às determinações da LGPD não resultem no descumprimento de suas obrigações perante os que regulam suas atividades.

(*) Marielen Cristiane Estevo é advogada integrante do Departamento Jurídico da VianaTel, empresa especializada em regularização de provedores de Internet

 

Enviar por e-mail   ...   Versão para impressão:
 

LEIA TAMBÉM:
20/02/2024
17/11/2023
07/07/2023
15/06/2023
01/06/2023
01/06/2023
04/05/2023
03/04/2023
24/03/2023
23/03/2023
VÍDEOS


Copyright © 2014 - 2024         Abranet - Associação Brasileira de Internet         Produzido e gerenciado por Editora Convergência Digital