Aspectos iniciais sobre a lei geral de proteção de dados - VI
Para finalizar as questões introdutórias relacionadas a Lei Geral de Proteção de Dados, abordamos dois pontos relevantes na compreensão dos aspectos da Lei.
Para finalizar as questões introdutórias relacionadas a Lei Geral de Proteção de Dados, abordamos dois pontos relevantes na compreensão dos aspectos da Lei: trata-se da transferência de dados feito para fora do Brasil e as penalidades e responsabilidades decorrentes do descumprimento da legislação.
Em relação à transferência de dados para o exterior, a Lei apresenta rol taxativo dos casos em que é possível realizar a transferência, que são: (i) os países a serem transferidos possuam grau de proteção de dados pessoais compatível com a lei brasileira; (ii) o controlador comprovar as mesmas garantias previstas na lei de proteção de dados, por meio de: a) cláusulas contratuais específicas para uma determinada transferência; b) cláusulas-padrão contratuais; c) normas corporativas globais; d) selos, certificados e códigos de conduta regularmente emitidos; (iii) quando for necessária para a cooperação jurídica internacional entre órgãos públicos de inteligência, de investigação e de persecução; (iv) quando for necessária para a proteção da vida ou da incolumidade física do titular ou de terceiro; (v) a autoridade nacional autorizar a transferência; (vi) quando for decorrente de acordo de cooperação internacional; (vii) quando for necessária para execução de política pública ou atribuição legal do serviço público; (viii) o titular tiver fornecido o seu consentimento específico e em destaque; ou (xi) necessário para cumprimento de obrigação legal, execução de um contrato ou exercício regular de um direito em processos.
Verifica-se que somente após atendidas as exigências legais, é que os dados poderão ser transferidos a países estrangeiros.
As sanções ao descumprimento à Lei, estão estabelecidos no artigo 52. Estabelece que o descumprimento tem como penalidade administrativa desde advertência até multa não superior a 2% (dois por cento) do faturamento, limitada a R$ 50 milhões por infração. Podendo ainda serem aplicadas multas diárias, a publicização da infração após devidamente apurada e confirmada a sua ocorrência, o bloqueio dos dados pessoais a que se refere a infração até a sua regularização, além da eliminação dos dados pessoais a que se referem a infração.
Além disso, cabe destaque que em caso de causar danos, sejam eles patrimoniais, morais, individuais ou coletivos, fica o controlador obrigado à reparação, estando sujeito à inversão do ônus da prova a favor do titular dos dados, solidariamente com o operador dos dados, quando esse estiver diretamente envolvido com o tratamento destes.
Ponto de grande relevância para evitar a responsabilização sobre o tratamento dos dados nas empresas é a comprovação que: (i) não realizaram o tratamento de dados pessoais que lhes é atribuído; (ii) não houve violação à legislação de proteção de dados, ainda que tenham realizado o tratamento; ou (iii) o dano é decorrente de culpa exclusiva do titular dos dados ou de terceiros.
Portanto, para evitar que seja atribuído responsabilidade, é fundamental que as empresas implementem programas de privacidade de dados e segurança da informação, bem como treinamento em processos de proteção de dados pessoais a todos os envolvidos.