Cooperativa é condenada por infração à Lei Geral de Proteção de Dados pessoais

A Justiça do trabalho da cidade de Montenegro1, do Estado do Rio Grande do Sul, condenou uma cooperativa por não estar adequada à LGPD2, sobretudo por não ter um encarregado de dados pessoais e não comprovar práticas relacionadas à segurança e sigilo de dados pessoais de seus empregados e cooperados.

A ação coletiva foi proposta pelo sindicato contra uma cooperativa de citricultores, alegando que esta realiza o tratamento de dados pessoais de seus cooperados e empregados e os compartilha com outros controladores e operados sem adotar a proteção necessária, além de não ter um encarregado nomeado, responsável pelos dados pessoais.

Na ação, foram pleiteados inúmeros pedidos, dentre eles, que a cooperativa indicasse quais dados pessoais realiza o tratamento, as bases legais, modalidades e ciclos de vida, indicação para quais países e em que circunstâncias os dados eram transferidos; fornecimento de todos os terceiros com quem tenha havido compartilhamento, além da finalidade e indicação de medidas de treinamento e conscientização para funcionários internos.

Embora a decisão seja de primeira instancia, passível de reforma pelo tribunal, denota-se que a LGPD está sendo aplicada em todos os âmbitos legais e não somente a ANPD (Autoridade Nacional de Proteção de Dados) é a única responsável em zelar pela sua aplicação.

A LGPD trouxe luz a forma como as empresas manipulam dados pessoais, trazendo mais segurança aos seus titulares e maior transparência quanto à sua utilização e compartilhamento com terceiros.

Tanto empresas, como pessoas físicas, que tratam dados pessoais que não estiverem adequadas à LGPD poderão sofrer punições que variam de advertência até aplicação de multa de até 2% do faturamento, limitada a quantia de R$ 50.000.000 milhões por infração. E, ainda, havendo um vazamento de dados pessoais ou uma violação de segurança aos dados, além de sofrerem aplicação das sanções administrativas pela ANPD, terão a reputação denegrida, exposta e poderão ser condenadas a indenizarem por danos que causarem aos titulares dos dados.

Nesse sentido, sugere-se que medidas devem ser urgentemente adotadas pelas organizações, dentre elas:

1. Indicação e contato do responsável (encarregado – DPO) pelo tratamento de dados pessoais, publicados no site da empresa.

2. Publicação de aviso ou política de privacidade da empresa.

3. Identificação dos titulares de dados pessoais e operações de tratamento.

4. Celebração de clausulados e ajustes em contratos vigentes para definir responsabilidade aos agentes de tratamento (controlador e operador de dados).

5. Identificação das finalidades e base legais para o tratamento de dados pessoais.

6. Descrição dos tipos de dados tratados.

7. Identificação de compartilhamento de dados pessoais e de transferência internacional

8. Prazo de retenção dos dados pessoais

9. Medidas técnicas e organizacionais de segurança da informação.

10. Evidências de conscientização sobre a LGPD e a privacidade e proteção de dados pessoais.

Por isso, é de suma importância que todos tenham conhecimento da LGPD para estarem em conformidade com as novas regras, levando-se sempre em consideração a privacidade na coleta e/ou armazenamento de documentos que contenham dados pessoais.

_____

1 Processo n. 0020043-80.2021.5.04.0261