PUBLICIDADE

Coluna | Seu Direito
Dra. Christiane Reyder
contato@privacyempower.com
Advogada, Consultora e Mentora em proteção de dados. Mestre e Doutoranda em Direito pela Univ. Lisboa.
Perfil no Instagram: @chrisreyder_protecaodedados
 
A relação entre a LGPD e a Multa Aplicada ao iFood
10/12/2021
 

No início de novembro/2021, a rede de entrega de comida iFood sofreu um incidente de segurança, quando um empregado de uma empresa parceira adulterou dados na plataforma, substituindo nomes de restaurantes por declarações de cunho político.

Uma vez que a empresa informou não ter havido violação de dados pessoais, vários especialistas se concentraram apenas na relação comercial da plataforma com os restaurantes, que teriam sofrido prejuízo, dando por não infringida a Lei Geral de Proteção de Dados – LGPD (Lei nº 13.709/2018).

Alertamos entretanto que fatos desta natureza não dispensam auditoria por parte das autoridades, nem indicam não haver violação de dados; ao contrário, suscitam suspeitas acerca da existência de importantes vulnerabilidades e irregularidades no tocante à proteção de dados pessoais, que merecem investigação, porquanto o mero acesso desnecessário a dados pessoais, ainda que não tenham sido adulterados, representaria violação da LGPD.

Segundo noticiado pela imprensa, o PROCON do município do Rio de Janeiro, num processo investigativo, notificou a empresa para fornecer diversas informações, dentre elas informações acerca de compartilhamento de dados com terceiros. Não tendo respondido à notificação, o iFood foi multado em mais de um milhão e meio de reais.

Destacamos aqui alguns aspectos específicos, relativamente ao regime jurídico da proteção de dados pessoais. 

A LGPD prevê que violações de dados pessoais, no âmbito de relações de consumo, podem ser sancionadas com fundamento no Código de Defesa do Consumidor.   

Por outro lado, a ausência de resposta a uma notificação num procedimento destinado a apurar violação de dados pessoais agrava a conduta da empresa. O princípio da accountability impõe não somente que o agente de tratamento implemente medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados ou ilícitos, ainda que acidentais, como exige que ele seja capaz de demonstrar a implementação destas medidas e a sua aptidão de eficácia. Afinal, a tônica do princípio do privacy by design é a eficácia das medidas de proteção da privacidade, que devem ser implementadas desde a concepção do tratamento de dados, ou seja, não atende à legislação a adoção de medidas que não sejam aptas ao fim visado, tampouco que não assegurem um nível de proteção aos dados que seja proporcional ao risco que o tratamento representa para os direitos dos titulares destes dados.

Além disso, de pouco ou nada vale a recusa em prestar as informações. A Autoridade Nacional de Proteção de Dados – ANPD tem poderes para solicitar documentos físicos e digitais; para ter acesso direto às instalações, equipamentos, aplicativos, sistemas, ferramentas, recursos tecnológicos documentos e informações de natureza técnica e operacional, em poder da empresa ou de terceiros; para ter conhecimento das informações de rastreabilidade dos sistemas utilizados; para realizar auditorias etc.

Em outros termos, a lei outorgou à ANPD competência para acessar diretamente as informações necessárias para a investigação e a proteção dos direitos dos titulares dos dados e ela tem firmado protocolos de cooperação técnica com diversos entes, inclusive de proteção do consumidor, como o SENACOM.

Vale ressaltar que, neste tipo de situação, em havendo violação de dados pessoais, os restaurantes e lanchonetes que contratam a plataforma são responsáveis (Controladores) perante os seus clientes/titulares de dados e perante a ANPD, de modo que devem estabelecer em contrato o modo como a plataforma deve tratar os dados pessoais, definindo ainda as responsabilidades de cada parte, e realizar auditorias periódicas para a fiscalização do contrato.

A plataforma pode assumir a posição jurídica de Operadora ou de co-Controladora, dependendo do grau de autonomia e do papel que desempenha em cada operação de tratamento de dados.

Em qualquer dos casos, é aconselhável que as regras que regem a relação, no tocante a tratamento de dados pessoais, sejam definidas em contrato.

A inexistência de um instrumento contratual não corresponde a uma “boa prática” nos termos da Lei, é interpretada como negligência ou mesmo má fé dos agentes de tratamento de dados e contribui para agravar uma eventual sanção a ser aplicada.
 
 
Últimos artigos deste colunista
14/03/2024
04/10/2023
15/09/2023
30/08/2023
« ver todos
 
KTO

Varginha Online - © 2000-2024


Provedor e Parceiro Oficial
IPHosting