Brasília, 23/12/2024 – A proteção de dados pessoais dos consumidores é um direito garantido por lei no Brasil, especialmente pela Lei Geral de Proteção de Dados (LGPD – Lei nº 13.709/2018). Essa legislação estabelece que empresas e instituições têm a obrigação de adotar medidas para proteger os dados dos consumidores, independentemente de qualquer pagamento adicional.
De acordo com o secretário Nacional do Consumidor, Wadih Damous, “a proteção de dados pessoais é um direito inegociável e deve ser garantida pelas empresas sem custo adicional. Práticas que condicionem esse direito ao pagamento de taxas são abusivas e violam tanto a LGPD quanto o Código de Defesa do Consumidor.
Cobrança para proteger dados é legal?
Não, não é legal que uma empresa condicione a proteção dos dados pessoais ao pagamento de um serviço. De acordo com a LGPD, a proteção de dados é um direito fundamental dos consumidores, e cabe à empresa responsável pelo tratamento dos dados implementar medidas de segurança para evitar vazamentos ou acessos não autorizados.
Se uma empresa oferece um serviço adicional relacionado à proteção de dados, como monitoramento de vazamentos ou alertas de segurança, isso não pode ser confundido com a obrigação de proteger os dados que ela mesma coleta e armazena. A cobrança por esse tipo de serviço pode ser considerada abusiva ou uma tentativa de lucrar com um problema pelo qual a empresa já deveria ser responsável, o que fere o princípio da boa-fé e da lealdade nas relações de consumo previsto no Código de Defesa do Consumidor (CDC).
Para Wadih Damous, o compromisso é assegurar que empresas tratem os dados de forma responsável e segura. “Estamos atentos e prontos para agir contra qualquer tentativa de lucrar com a insegurança criada por falhas na proteção de informações dos consumidores”, garantiu.
Esse comportamento pode ser analisado sob duas perspectivas:
1. Prática abusiva (CDC, art. 39) – A tentativa de lucrar com a insegurança gerada por falhas na proteção dos dados pode ser enquadrada como uma prática abusiva, pois coloca o consumidor em desvantagem excessiva.
2. Falha na segurança (LGPD, art. 46) – Se o vazamento ocorreu devido à negligência da empresa, ela é responsável por reparar os danos e adotar medidas para evitar novos incidentes, conforme a LGPD.
Adicionalmente, a empresa pode ser investigada pela Autoridade Nacional de Proteção de Dados (ANPD), que tem competência para aplicar sanções administrativas, como multas e suspensão de operações de tratamento de dados, se constatada violação à LGPD.
O que o consumidor pode fazer a respeito?
1. Registrar Reclamação – O consumidor pode registrar reclamações nos canais da ANPD e nos Procons estaduais ou municipais. Essas instituições são responsáveis por fiscalizar práticas abusivas e proteger os direitos dos consumidores.
2. Entrar em Contato com a Empresa – O consumidor pode exigir esclarecimentos sobre o vazamento e quais medidas estão sendo tomadas para proteger seus dados e prevenir novos incidentes.
3. Denunciar ao Ministério Público – Denúncias podem ser feitas ao Ministério Público, que pode abrir uma investigação sobre a prática e buscar reparações coletivas.
4. Ação Judicial – Em caso de danos materiais ou morais, o consumidor pode ingressar com uma ação judicial, exigindo reparação. Tribunais têm reconhecido que vazamentos de dados, por si só, podem gerar dano moral presumido.
O que outras instituições podem fazer a respeito?
1. ANPD – A Autoridade Nacional de Proteção de Dados é o principal órgão regulador sobre proteção de dados no Brasil. Ela pode:
– Aplicar sanções administrativas.- Emitir recomendações às empresas.- Divulgar relatórios sobre práticas inadequadas.
2. Senacon e Procons – Os órgãos de defesa do consumidor podem investigar a prática como violação do CDC e impor multas ou ações administrativas.
3. Ministério Público: O MP pode instaurar ações civis públicas contra a empresa, especialmente se o vazamento de dados atingir muitos consumidores.
4. Organizações Civis: Entidades como o Idec podem mobilizar ações coletivas ou propor debates públicos sobre a necessidade de maior regulação no setor.
A cobrança para proteger dados pessoais, especialmente em casos de vazamentos, é uma prática que fere tanto o Código de Defesa do Consumidor quanto a LGPD. Consumidores devem ficar atentos, exigir seus direitos e denunciar práticas abusivas. Cabe às autoridades e às instituições reguladoras fiscalizar e responsabilizar empresas que tentem lucrar com a insegurança que elas mesmas geraram.
Brief
"On December 23, 2024, the Ministry of Justice and Public Security (MJSP) reaffirmed that data protection is a fundamental right guaranteed to consumers in Brazil. According to the National Consumer Secretary, Wadih Damous, it's unacceptable for companies to condition data protection on additional fees, as this violates both the LGPD and the Código de Defesa do Consumidor."
Highlights content goes here...
Purpose
The purpose of this document is to inform consumers and businesses about their rights and responsibilities regarding data protection, particularly in cases where personal data has been leaked or compromised. It aims to clarify that charging extra for data protection services is not permissible under Brazilian law.
Effects on Industry
The implementation of the LGPD (Lei Geral de Proteção de Dados) has significant implications for businesses operating in Brazil. Companies must now adopt measures to protect consumers’ personal data, regardless of any additional payment. This shift affects industries that handle large amounts of consumer data, such as finance, healthcare, and e-commerce.
The enforcement of data protection regulations may lead to increased costs for companies as they invest in security measures to prevent data breaches. Furthermore, businesses found guilty of violating the LGPD or Código de Defesa do Consumidor (CDD) may face penalties, including fines and suspension of operations.
Relevant Stakeholders
Consumers whose personal data has been compromised are directly affected by this update. They have the right to demand that companies take responsibility for protecting their data and must be informed about measures taken to prevent future breaches.
Businesses that handle consumer data, particularly those in high-risk sectors like finance and healthcare, must adapt to the new regulations. These companies must invest in robust security measures to protect consumers’ personal information and may face consequences if found guilty of non-compliance.
Regulatory bodies, such as the Autoridade Nacional de Proteção de Dados (ANPD), Procons estaduais ou municipais, and the Ministério Público, are also stakeholders. They play a crucial role in enforcing data protection regulations, investigating violations, and imposing penalties on non-compliant companies.
Next Steps
Consumers who suspect their personal data has been compromised should:
- Register a complaint with ANPD or Procons estaduais ou municipais.
- Contact the company responsible for the breach to demand explanations and actions taken to prevent future incidents.
- File a denunciation with the Ministério Público if they believe their rights have been violated.
Businesses must:
- Comply with data protection regulations outlined in the LGPD and CDD.
- Implement robust security measures to protect consumers’ personal data.
- Inform consumers about their rights and responsibilities regarding data protection.
Regulatory bodies should:
- Enforce data protection regulations consistently.
- Provide guidance and support to businesses adapting to new regulations.
- Impose penalties on companies found guilty of violating the LGPD or CDD.
Any Other Relevant Information
The LGPD establishes that protecting consumers’ personal data is a fundamental right, and companies are responsible for implementing measures to prevent data breaches. Charging extra for data protection services is not permissible under Brazilian law.
If a company offers additional services related to data protection, such as monitoring for breaches or security alerts, this cannot be confused with the company’s obligation to protect the data they collect and store. The LGPD prohibits charging for these services because it’s the company’s responsibility to ensure the security of consumers’ personal data.
The ANPD has the authority to apply administrative penalties, including fines and suspension of operations, if companies are found guilty of violating the LGPD.
In cases where data breaches occur due to a company’s negligence, they are responsible for repairing damages and adopting measures to prevent future incidents. If the breach is significant enough, regulatory bodies may take action against the company.
Consumers have the right to demand explanations about the actions taken by companies to protect their personal data and prevent future breaches.
