A LGPD e o Desrespeito das Empresas no Descarte incorreto das Cópias de Documentos Pessoais de seus clientes.
Publicado em:
14/06/2023
Advogado
A Lei Geral de Proteção de Dados (LGPD), que entrou em vigor em 2020, estabelece que as empresas que lidam com dados pessoais dos seus clientes são responsáveis por garantir a segurança e privacidade dessas informações. Quando ocorre uma violação desses dados, a empresa pode ser responsabilizada e condenada a pagar uma indenização por danos morais aos clientes afetados.
O tratamento de dados pessoais pelas empresas deve acontecer mediante alguns requisitos, do tipo, para realização de estudos, em contratos, em ações judiciais, para proteção de crédito, etc., mas sempre precedido de consentimento do titular. Os agentes ou empresas que fazem o tratamento dos dados pessoais têm a obrigação de bem cuidar dessas informações, não permitindo que terceiros tenham acesso, protegendo esses dados de eventuais acidentes ou qualquer outra forma ilícita, conforme previsões dos artigos 7º ao 16 da LGPD.
Os agentes ou empresas que infringirem as previsões legais serão submetidos, após devido processo administrativo, a sanções do tipo, advertência, multa, divulgação da infração, suspensão, proibição, dentre outras medidas, nos termos do art. 52 e seguintes, do capítulo VIII da LGPD.
Nossos tribunais têm se posicionado de forma favorável aos consumidores que sofrem danos morais em decorrência da violação da LGPD. A lei está em vigor em média 03 (três) anos no Brasil e ainda há muitos casos em andamento, mas já existem decisões judiciais que reconheceram a ocorrência de danos morais em casos de vazamento de dados, compartilhamento indevido de informações e outras falhas na proteção de dados pessoais.
Dito isto, devemos refletir: Todas essas ações visando a proteção das informações pessoais das pessoas, as medidas já realizadas e em constante realização por parte de empresas, são ou estão sendo suficientes? As empresas, quer sejam de pequeno, médio ou grande porte, públicas ou privadas, buscam ou devem buscar se adequar aplicando dicas, passo a passo de como se adequarem às novas regras impostas. Se cercam de meios bem elaborados por administradores especialistas no assunto, visando bem tratar os dados pessoais, sempre no interesse do cidadão.
Além de empresas privadas que se denominam especialistas no assunto, a SERPRO já publicou na internet dicas de como tratar dados pessoais visando “o interesse do cidadão”.
“É preciso:
(...). IDENTIFICAR e ORGANIZAR os dados pessoais, com atenção àqueles que exigem cuidados ainda mais específicos no tratamento (como os pessoais sensíveis e os sobre crianças e adolescentes). INFORMAR ao titular, antes de efetuar o tratamento, as finalidades da ação (compatíveis com a função pública do órgão), os dados recolhidos, os destinatários dos dados e os direitos dele em matéria de proteção de dados (...). ELABORAR medidas técnicas, normas e políticas que contemplem os requisitos da Lei Geral de Proteção de Dados Pessoais para alcançar a conformidade e poder demonstrar isso, caso seja pedido pelo cidadão e pela ANPD. IMPLANTAR um plano de formação e conscientização dos empregados, terceirizados e demais colaboradores sobre a importância da privacidade de dados pessoais (...). ADAPTAR e revisar procedimentos e formulários, habilitando meios digitais, para atender ao cidadão, em demandas de solicitação e revogação do consentimento e outras mais sobre como seus dados estão sendo tratados (...). EFETUAR análises de riscos e adotar medidas para fazer frente a falhas que possam ferir os direitos e liberdades do cidadão. ESTABELECER protocolos para gerir e, se for o caso, notificar brechas de segurança e vazamentos de dados. Dados pessoais vazados acidental ou ilicitamente a destinatários não autorizados, ou que fiquem temporariamente indisponíveis ou sejam alterados: qualquer violação deve ser notificada ao titular dos dados e à ANPD, sem demora injustificada. (...).”
Contudo, apesar de todas as orientações e dicas, de empresas privadas especialistas e também do Poder Público, visando a segurança de milhões de informações adquiridas por aqueles que fazem o tratamento de dados, casos de falhas na segurança das informações pessoais de clientes não param de acontecer, mesmo aqueles que têm a obrigação de protegê-las afirmarem estarem adotando as medidas para que isso não aconteça.
As empresas se preocupando em fazer sejam aplicadas medidas macros, pois, acham que pessoas mal intencionadas podem surpreendê-los de fora para dentro, invadindo computadores dotados de grande banco de dados contendo informações do tipo, RG, CPF, endereço residencial de pessoas naturais, informações estas que muitas vezes são exigidas por bancos, companhias de energia, financeiras, para fazerem o cadastro e atender a uma demanda solicitada pelo cidadão. Contudo esquecem de adotarem medidas simples como o descarte correto das cópias de documentos pessoais exigidos pelas próprias empresas.
Isso mesmo, é comum e notório que pessoas necessitando abrir uma conta em banco, fazer um empréstimos, pedir uma ligação nova de energia ou água, ou outro serviço semelhante, se dirijam a estas empresas levando uma cópia de seus documentos pessoais a pedido dos funcionários ou até mesmo com os documentos originais para que a empresa mesma faça a cópia. Após preenchidos todos os formulários e anexadas as cópia dos documentos pessoais, toda essa documentação é digitalizada em momento posterior, fazendo com que às cópias não sejam mais necessárias.
Findo todo esse processo administrativo, o que é feito com essas cópias? Ou melhor, como é feito o descarte de todas essas xerox de documentos? Não é difícil encontrar, na frente de agências bancárias, agências lotéricas, agência de atendimento de empresas prestadoras de serviços públicos ou até mesmo na frente de grandes lojas que fazem atendimentos diversos aos consumidores com emissão de cartões de crédito, sacos de lixo nas vias públicas contendo o descarte de restos de materiais de expediente e dentre eles, cópias de RG’s, CPF’s, comprovantes de endereços, carteira de trabalho, títulos de eleitor.
Os sacos de lixos nas vias públicas é alvo constante daqueles que buscam materiais recicláveis (recicladores), que sem se preocuparem com o que tenha dentro de um saco de entulhos, rasgam para que possam pegar alguma coisa que possa lhes ser útil, ficando a sacola aberta e a ser espalhada seu conteúdo nas ruas pelo vento e ou animais, e, dentre esses diversos “lixos” espalhados as cópias de RG’s, CPF’s, comprovantes de endereços, carteira de trabalho, títulos de eleitores.
Para se ter uma ideia do quão isso é favorável a quem tenha interesse em praticar fraudes, basta encontrar uma cópia de RG contendo a foto do titular, o número do próprio registro geral, com CPF, a filiação do titular, data de nascimento e data de emissão para responder a maioria dos questionamentos e potencializar as chances de fraudadores cometerem crimes.
Agindo dessa forma, descartando de forma incorreta os documentos pessoais, estão estas empresas agindo de forma contrária ao mais importante princípio da LGPD que é a segurança, nos termos do art. 6º, inciso VII que diz:
Art. 6º As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios: (...); VII - segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão; (grifo nosso).
Em se tratando de cópias de documentos pessoais ou qualquer outro documento que contenha informações específicas de uma pessoa, após a utilização desses dados para atender as necessidades de cada instituição, estes documentos devem ou deveriam antes de serem descartados fossem passados em máquinas de picotar/triturar papéis, zerando ou ao menos reduzindo as chances das informações pessoais dos cidadãos possam chegar nas mãos de pessoas mau intencionadas.
SERPRO. Como se adequar à LGPD. Disponível em: https://www.serpro.gov.br/lgpd/governo/como-se-adequar-lgpd. Acesso em 04/04/2023.
O tratamento de dados pessoais pelas empresas deve acontecer mediante alguns requisitos, do tipo, para realização de estudos, em contratos, em ações judiciais, para proteção de crédito, etc., mas sempre precedido de consentimento do titular. Os agentes ou empresas que fazem o tratamento dos dados pessoais têm a obrigação de bem cuidar dessas informações, não permitindo que terceiros tenham acesso, protegendo esses dados de eventuais acidentes ou qualquer outra forma ilícita, conforme previsões dos artigos 7º ao 16 da LGPD.
Os agentes ou empresas que infringirem as previsões legais serão submetidos, após devido processo administrativo, a sanções do tipo, advertência, multa, divulgação da infração, suspensão, proibição, dentre outras medidas, nos termos do art. 52 e seguintes, do capítulo VIII da LGPD.
Nossos tribunais têm se posicionado de forma favorável aos consumidores que sofrem danos morais em decorrência da violação da LGPD. A lei está em vigor em média 03 (três) anos no Brasil e ainda há muitos casos em andamento, mas já existem decisões judiciais que reconheceram a ocorrência de danos morais em casos de vazamento de dados, compartilhamento indevido de informações e outras falhas na proteção de dados pessoais.
Dito isto, devemos refletir: Todas essas ações visando a proteção das informações pessoais das pessoas, as medidas já realizadas e em constante realização por parte de empresas, são ou estão sendo suficientes? As empresas, quer sejam de pequeno, médio ou grande porte, públicas ou privadas, buscam ou devem buscar se adequar aplicando dicas, passo a passo de como se adequarem às novas regras impostas. Se cercam de meios bem elaborados por administradores especialistas no assunto, visando bem tratar os dados pessoais, sempre no interesse do cidadão.
Além de empresas privadas que se denominam especialistas no assunto, a SERPRO já publicou na internet dicas de como tratar dados pessoais visando “o interesse do cidadão”.
“É preciso:
(...). IDENTIFICAR e ORGANIZAR os dados pessoais, com atenção àqueles que exigem cuidados ainda mais específicos no tratamento (como os pessoais sensíveis e os sobre crianças e adolescentes). INFORMAR ao titular, antes de efetuar o tratamento, as finalidades da ação (compatíveis com a função pública do órgão), os dados recolhidos, os destinatários dos dados e os direitos dele em matéria de proteção de dados (...). ELABORAR medidas técnicas, normas e políticas que contemplem os requisitos da Lei Geral de Proteção de Dados Pessoais para alcançar a conformidade e poder demonstrar isso, caso seja pedido pelo cidadão e pela ANPD. IMPLANTAR um plano de formação e conscientização dos empregados, terceirizados e demais colaboradores sobre a importância da privacidade de dados pessoais (...). ADAPTAR e revisar procedimentos e formulários, habilitando meios digitais, para atender ao cidadão, em demandas de solicitação e revogação do consentimento e outras mais sobre como seus dados estão sendo tratados (...). EFETUAR análises de riscos e adotar medidas para fazer frente a falhas que possam ferir os direitos e liberdades do cidadão. ESTABELECER protocolos para gerir e, se for o caso, notificar brechas de segurança e vazamentos de dados. Dados pessoais vazados acidental ou ilicitamente a destinatários não autorizados, ou que fiquem temporariamente indisponíveis ou sejam alterados: qualquer violação deve ser notificada ao titular dos dados e à ANPD, sem demora injustificada. (...).”
Contudo, apesar de todas as orientações e dicas, de empresas privadas especialistas e também do Poder Público, visando a segurança de milhões de informações adquiridas por aqueles que fazem o tratamento de dados, casos de falhas na segurança das informações pessoais de clientes não param de acontecer, mesmo aqueles que têm a obrigação de protegê-las afirmarem estarem adotando as medidas para que isso não aconteça.
As empresas se preocupando em fazer sejam aplicadas medidas macros, pois, acham que pessoas mal intencionadas podem surpreendê-los de fora para dentro, invadindo computadores dotados de grande banco de dados contendo informações do tipo, RG, CPF, endereço residencial de pessoas naturais, informações estas que muitas vezes são exigidas por bancos, companhias de energia, financeiras, para fazerem o cadastro e atender a uma demanda solicitada pelo cidadão. Contudo esquecem de adotarem medidas simples como o descarte correto das cópias de documentos pessoais exigidos pelas próprias empresas.
Isso mesmo, é comum e notório que pessoas necessitando abrir uma conta em banco, fazer um empréstimos, pedir uma ligação nova de energia ou água, ou outro serviço semelhante, se dirijam a estas empresas levando uma cópia de seus documentos pessoais a pedido dos funcionários ou até mesmo com os documentos originais para que a empresa mesma faça a cópia. Após preenchidos todos os formulários e anexadas as cópia dos documentos pessoais, toda essa documentação é digitalizada em momento posterior, fazendo com que às cópias não sejam mais necessárias.
Findo todo esse processo administrativo, o que é feito com essas cópias? Ou melhor, como é feito o descarte de todas essas xerox de documentos? Não é difícil encontrar, na frente de agências bancárias, agências lotéricas, agência de atendimento de empresas prestadoras de serviços públicos ou até mesmo na frente de grandes lojas que fazem atendimentos diversos aos consumidores com emissão de cartões de crédito, sacos de lixo nas vias públicas contendo o descarte de restos de materiais de expediente e dentre eles, cópias de RG’s, CPF’s, comprovantes de endereços, carteira de trabalho, títulos de eleitor.
Os sacos de lixos nas vias públicas é alvo constante daqueles que buscam materiais recicláveis (recicladores), que sem se preocuparem com o que tenha dentro de um saco de entulhos, rasgam para que possam pegar alguma coisa que possa lhes ser útil, ficando a sacola aberta e a ser espalhada seu conteúdo nas ruas pelo vento e ou animais, e, dentre esses diversos “lixos” espalhados as cópias de RG’s, CPF’s, comprovantes de endereços, carteira de trabalho, títulos de eleitores.
Para se ter uma ideia do quão isso é favorável a quem tenha interesse em praticar fraudes, basta encontrar uma cópia de RG contendo a foto do titular, o número do próprio registro geral, com CPF, a filiação do titular, data de nascimento e data de emissão para responder a maioria dos questionamentos e potencializar as chances de fraudadores cometerem crimes.
Agindo dessa forma, descartando de forma incorreta os documentos pessoais, estão estas empresas agindo de forma contrária ao mais importante princípio da LGPD que é a segurança, nos termos do art. 6º, inciso VII que diz:
Art. 6º As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios: (...); VII - segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão; (grifo nosso).
Em se tratando de cópias de documentos pessoais ou qualquer outro documento que contenha informações específicas de uma pessoa, após a utilização desses dados para atender as necessidades de cada instituição, estes documentos devem ou deveriam antes de serem descartados fossem passados em máquinas de picotar/triturar papéis, zerando ou ao menos reduzindo as chances das informações pessoais dos cidadãos possam chegar nas mãos de pessoas mau intencionadas.
SERPRO. Como se adequar à LGPD. Disponível em: https://www.serpro.gov.br/lgpd/governo/como-se-adequar-lgpd. Acesso em 04/04/2023.
Compartilhar: