POURQUOI VOTRE ENTREPRISE NE PEUT PAS IGNORER LA LGPD : LE CAS ENEL ET L'ALERTE STJ

Décembre 13, 2024

La récente décision du Cour supérieure de justice (STJ) aucune Appel spécial n° 2.147.374 XNUMX XNUMX a mis en lumière un débat fondamental pour le scénario juridique et économique brésilien : la responsabilité des entreprises dans la protection des données personnelles. L'affaire en question concernait le Enel, qui a été tenue pour responsable de la fuite de données personnelles non sensibles d'un consommateur, même si elle prétendait que l'incident résultait d'une attaque de pirate informatique.

La décision STJ et ses implications

Le STJ a conclu que l'entreprise n'a pas adopté de mesures adéquates pour protéger les informations, renforçant ainsi le fait que la sécurité des données n'est pas une option, mais une obligation légale inaliénable. En d’autres termes, même en cas d’événements externes, comme les cyberattaques, la décision souligne qu’il appartient aux entreprises de prouver qu’elles ont déployé tous les efforts raisonnables pour éviter les incidents.

Cette interprétation élargit le champ d’application de la loi générale sur la protection des données (LGPD) et place les entreprises dans un scénario de plus grande responsabilité juridique. Ne pas démontrer l'adoption de pratiques de sécurité robustes peut entraîner non seulement des sanctions financières, mais également des dommages irréparables à la réputation de la marque.

La protection des données comme droit fondamental

Avec la promulgation de Amendement constitutionnel nº 115/2022, la protection des données a été élevée au rang de droit fondamental au Brésil, au même titre que des droits tels que la liberté et la vie privée. En d’autres termes, ce changement consolide la compréhension selon laquelle la protection des renseignements personnels est un élément essentiel de la dignité humaine, reflétant l’engagement de l’État en faveur de la sécurité numérique.

Le jugement d'Enel a donc démontré cette évolution en considérant la sécurité du traitement des données comme partie intégrante des opérations commerciales. Le tribunal a souligné que les incidents de sécurité, tels que les fuites, sont directement liés à l'activité principale de l'entreprise. Pour la STJ, ils représentent des risques inhérents aux pratiques des affaires, qui nécessitent une gestion prudente et diligente.

Responsabilité proactive : un nouveau paradigme

En outre, la décision crée un précédent pertinent en déclarant que les entreprises doivent non seulement démontrer leur conformité formelle, mais également proactivité dans l’atténuation des risques. Cela comprend l’investissement dans l’infrastructure technologique, l’adoption de politiques internes solides et la réalisation d’audits fréquents.

Sous cet aspect, la doctrine s’est exprimée comme suit :

"[la] nouvelle loi introduit cependant, conformément à la réglementation européenne, un changement profond en matière de responsabilité. (...) En résumé, des attitudes conscientes, diligentes et proactives sont requises de la part des entreprises en ce qui concerne la utilisation des données personnelles. Ainsi, à partir d’août 2020, lorsque la LGPD entrera en vigueur, toute entreprise qui traite des données personnelles devra non seulement se conformer à la loi, mais devra également prouver qu’elle est en conformité avec la loi. Il appartiendra aux entreprises, plutôt qu'à l'administration publique, d'identifier leurs propres risques et de choisir et d'appliquer les mesures appropriées pour les atténuer.» (Maria Celina Bodin de Moraes et João Quinelato de Queiroz, « Autodétermination informative et responsabilité proactive », Cadernos Adenauer XX (2019) nº 3, p. 113). GRIFFIN NOTRE

Conséquences de la négligence en matière de protection des données

La négligence en matière de protection des données peut générer une série de conséquences néfastes pour les entreprises. Parmi les principaux risques figurent :

  • Sanctions financières : La LGPD prévoit des amendes pouvant atteindre jusqu'à 2 % du chiffre d'affaires brut de l'entreprise, limitées à un plafond de 50 millions de reais par infraction.
  • Procédures judiciaires : Outre les sanctions administratives, la société pourra être tenue civilement responsable des dommages causés aux personnes concernées.
  • Impact sur la réputation : Révéler des failles dans la protection des données peut miner la confiance des consommateurs, des partenaires et des investisseurs.
  • Interruptions opérationnelles : Les incidents de sécurité peuvent compromettre la continuité des activités, en particulier dans les entreprises qui dépendent des systèmes numériques.

Le cas Enel illustre clairement comment l’absence d’une politique de sécurité efficace peut exposer l’organisation à de graves conséquences. Le STJ a précisé que les entreprises doivent être prêtes à démontrer, à tout moment, que leurs pratiques sont conformes aux principes de la LGPD, tels que la prévention, la transparence et la sécurité.

Comment garantir la conformité à la LGPD

Répondre aux exigences de la LGPD ne consiste pas seulement à éviter les sanctions, mais aussi à protéger les intérêts de toutes les parties impliquées. Pour y parvenir, il est essentiel d’intégrer la protection des données dans toutes les opérations commerciales, en adoptant une approche large et stratégique. Les actions clés comprennent :

  • Mise en œuvre des politiques de gouvernance : Les entreprises doivent créer des normes internes claires pour le traitement des données, couvrant la collecte, le stockage, le partage et la suppression des informations.
  • Formation des employés : La formation d’une culture organisationnelle de protection des données est essentielle. Des formations régulières permettent de sensibiliser les collaborateurs à l’importance de la LGPD et aux bonnes pratiques.
  • Investissement dans la technologie : Les systèmes avancés de cybersécurité, tels que le cryptage et la détection des menaces, sont des outils essentiels pour atténuer les risques.
  • Documentation des efforts : Des audits internes et des enregistrements détaillés des actions préventives sont essentiels pour démontrer la conformité en cas d'inspection.
  • Plans de réponse aux incidents : Il est essentiel d’élaborer un plan structuré pour faire face aux fuites ou aux accès non autorisés. Il doit inclure des mesures rapides pour atténuer les dommages et communiquer les impacts aux autorités et aux détenteurs.

Ainsi, en plus d’éviter des sanctions et des poursuites, le respect de la LGPD peut devenir un atout stratégique pour les entreprises.

Le différenciateur concurrentiel : transparence et sécurité LGPD

Les entreprises qui traitent les données de manière transparente et s’engagent en faveur de la sécurité renforcent la confiance des consommateurs et des partenaires. Cette position crée un différenciateur concurrentiel dans un marché de plus en plus numérique et interconnecté. Lorsqu’elles agissent de manière éthique et responsable dans l’utilisation des données, les entreprises deviennent des références dans le secteur, attirent des clients et construisent des partenariats fondés sur de solides pratiques de gouvernance.

La décision du STJ dans l'affaire Enel a donc marqué l'interprétation de la LGPD et alerté le marché. Négliger la protection des données compromet non seulement le respect de la loi, mais aussi la confiance des consommateurs, des employés et des investisseurs. Dans le scénario actuel des entreprises, les entreprises doivent agir conformément à la LGPD pour garantir la pérennité de leur activité.

Si votre entreprise n'est pas encore prête à relever les défis imposés par la LGPD, contactez-nous.

PLANIFIER UNE RÉUNION
DÉCOUVREZ NOTRE BLOG

Publié par:

Lucas Willian Farias

Voir aussi:

© 2024 Vanzin & Penteado Advogados Associados.

traversermenu linkedin sur Facebook pinterest Youtube rss twitter instagram facebook-blanc rss-blank linkedin-blanc pinterest Youtube twitter instagram