Recentemente foi vinculado em diversos canais de comunicação, que o Banco Itaú Consignado foi multado em 9.6 milhões de reais por diversos motivos e um dos motivos foi por violação à privacidade de dados.
A notícia destacada, está vinculada ao site www.baguete.com.br (https://www.baguete.com.br/noticias/23/06/2021/itau-leva-multa-de-r-96-mi-por-privacidade) e contém um trecho que diz: “A Secretaria Nacional do Consumidor do Ministério da Justiça aplicou multa de R$ 9,6 milhões contra o banco Itaú Consignado, braço do banco para empréstimos deste tipo, por, entre outras coisas, violações relativas à privacidade de dados”.
"Conforme divulgado pela Senacon, além de irregularidades diretamente ligadas ao Código de Defesa do Consumidor, como falta de transparência e publicidade enganosa, foram identificadas violações ao Marco Civil da Internet, relativas ao consentimento para uso de dados e direito à exclusão de informações”.
Com a LGPD em vigor, o que está envolvido nesse caso? Vamos destacar dois aspectos citados pela reportagem: Consentimento para uso de Dados e Exclusão de Informações.
O Artigo 7 da LGPD, destaca alguns requisitos legítimos para o tratamento de dados pessoais. Um dos requisitos está no inciso I que diz: “Mediante o fornecimento de consentimento do Titular”. O Artigo 8, no 4º parágrafo diz: “O consentimento deverá referir-se a finalidades determinadas, e as autorizações genéricas para o tratamento de dados pessoais serão nulas”.
Quando é solicitado o consentimento, o titular deve saber exatamente para qual finalidade seus dados serão utilizados. O consentimento sempre se refere a uma finalidade determinada e essa deverá ser clara e explicita.
Ao explicitar a finalidade, o controlador atende a um dos princípios básicos do tratamento de dados, que é a transparência, e deixa claro ao titular como pretende utilizar seus dados pessoais.
A GDPR (General Data Protection Regulation, no Artigo 12, esclarece como deve ser feita a comunicação para o titular dos dados. Eu particularmente gosto bastante da forma como apresenta a questão. A lei cita: "O Controlador deve tomar as medidas adequadas para prestar as informações referidas nos artigos 13 e 14 e qualquer comunicação nos termos dos artigos 15 a 22 e 34 relativos ao processamento à pessoa em causa, de forma concisa, transparente, inteligível e facilmente acessível, utilizando linguagem clara e simples...".
Pela forma como a sanção foi aplicada, faltou explicitar a finalidade de maneira concisa, clara e transparente.
Em relação a exclusão de informações, a LGPD prevê no Capítulo III, Artigo 18, diversos direitos do titular destacando-se aqui a direito a “eliminação dos dados pessoais tratados com o consentimento do titular”.
Os titulares de dados têm o direito de ter seus dados "apagados" (eliminados) quando sejam considerados desnecessários, excessivos ou tratados em desconformidade com a LGPD, ou tratados com base no consentimento e já não estejam mais sujeitos a nenhuma hipótese de retenção. [1]
O direito de ter dados apagados sempre está relacionado a um dos motivos determinados pela lei como: processamento ilegal, retirada do consentimento, objeções ao processamento, entre outros. Destaquei esses motivos pois a empresa, de acordo com a reportagem, violou um ou mais desses itens que são passíveis de sanções administrativas.
Em relação a sanções administrativas, os dois motivos citados na reportagem afetam diretamente a LGPD e podem ocasionar multas.
As multas também são pesadas podendo chegar a R$ 50.000.000,00 dependendo da gravidade do caso e dos limites estabelecidos conforme faturamento da empresa. Porém existem fatores atenuantes como: a boa-fé do infrator, a cooperação do infrator, a adoção de política de boas práticas e governança, a pronta adoção de medidas corretivas e outros fatores destacados na lei. Provavelmente esse seja o motivo apresentado pelo Itaú para recorrer da decisão.
Para concluir, destaco as palavras TRANSPARÊNCIA e COMUNICAÇÃO que são fundamentais para qualquer processamento que envolva dados pessoais, e assim evitar essas situações que se tornarão cada vez mais frequentes.
[1] Fonte: http://bitly.com/PDPE_PR_literature (acessado em 24 de junho de 2021).
Comments