CARREFOUR MULTADO NA FRANÇA POR VIOLAÇÃO DE DADOS PESSOAIS: O QUE PODEMOS APRENDER?

No últi­mo dia 18 de novem­bro de 2020, a autori­dade france­sa de pro­teção de dados (Com­mis­sion Nationale de l’In­for­ma­tique et des Lib­ertés — CNIL) con­de­nou duas empre­sas da rede de vare­jo Car­refour por vio­lação à Gen­er­al Data Pro­tec­tion Reg­u­la­tion — GDPR e reg­u­la­men­tação nacional de pro­teção de dados pessoais.

Após fis­cal­iza­ção das plan­tas do grupo na França entre maio e jul­ho de 2019 e con­dução de pro­ced­i­men­to admin­is­tra­ti­vo, a CNIL enten­deu que hou­ve vio­lação a diver­sas obri­gações pre­vis­tas pela leg­is­lação europeia de pro­teção de dados pes­soais, apli­can­do mul­tas que total­izam € 3 mil­hões (aprox­i­mada­mente R$ 18,9 milhões).

De acor­do com o comu­ni­ca­do ofi­cial da autori­dade, o Car­refour France e o Car­refour Banque  des­cumpri­ram os seguintes pon­tos da GDPR e da Lei de Infor­máti­ca e Liberdades:

• dev­er de infor­mação, pois os ter­mos para pro­gra­ma de fidel­i­dade ou cartão não estavam acessíveis, em razão da exten­são e com­plex­i­dade dos doc­u­men­tos e da lin­guagem utilizada;

• uso de cook­ies, como os de pub­li­ci­dade, que eram inde­v­i­da­mente descar­rega­dos no nave­g­ador antes de o usuário con­sen­tir com a sua uti­liza­ção, obri­gatória naque­le contexto;

• lim­i­tação do pra­zo de retenção de dados, que eram man­ti­dos nos sis­temas para além do fix­a­do pela própria empre­sa e dos pra­zos esta­b­ele­ci­dos em casos con­cre­tos, afe­tan­do mais de 20 mil­hões de clientes;

• garan­tia de exer­cí­cio de dire­itos pelos tit­u­lares, já que eram ado­ta­dos pro­ced­i­men­tos exces­sivos de iden­ti­fi­cação do tit­u­lar para todos os tipos de solic­i­tações, inde­pen­dente da neces­si­dade, bem como os pra­zos de respos­ta por vezes não eram respeitados;

• atendi­men­to de dire­itos dos tit­u­lares, vez que tam­bém não foram aten­di­dos diver­sos pedi­dos de aces­so, exclusão e oposição ao trata­men­to de dados pessoais;

• dev­er de leal­dade e transparên­cia (boa-fé), pois foram trans­feri­dos a ter­ceiros mais dados do que o infor­ma­do ao tit­u­lar ader­ente ao pro­gra­ma de fidelidade.

Vale notar que as empre­sas do grupo Car­refour pro­mover­am a ade­quação de todos ess­es pon­tos ain­da durante o proces­so admin­is­tra­ti­vo. Tais esforços foram con­sid­er­a­dos pela autori­dade, porém, não impedi­ram a apli­cação de multa.

Emb­o­ra este caso ten­ha ocor­ri­do na França, chaman­do a apli­cação da GDPR e da reg­u­la­men­tação daque­le país em pro­teção de dados pes­soais, sua relevân­cia é clara, servin­do de bench­mark para inúmeros desafios que já estão sendo enfrenta­dos no Brasil nos pro­gra­mas de ade­quação à Lei Ger­al de Pro­teção de Dados (LGPD).

Em razão da entra­da em vig­or da lei brasileira em 18 de setem­bro de 2020 — vale diz­er, de for­ma ines­per­a­da após diver­sas revi­ra­voltas e ten­ta­ti­vas de adi­a­men­to — muitas empre­sas que ain­da não havi­am ini­ci­a­do o proces­so de ade­quação foram pegas de sur­pre­sa com a enx­ur­ra­da de solic­i­tações de tit­u­lares, além de estarem muito pre­ocu­padas com os aspec­tos exter­nos da LGPD, como Políti­cas de Pri­vaci­dade e Ter­mos de Uso.

Porém, esse caso nos mostra clara­mente que a ade­quação à leg­is­lação pro­te­ti­va de dados deve ser mais pro­fun­da e efe­ti­va, incidin­do em mod­i­fi­cações ou cri­ação de proces­sos inter­nos, mapea­men­to de todos os dados pes­soais trata­dos pela empre­sa, treina­men­to de fun­cionários, revisão cuida­dosa de con­tratos e cri­ação de mecan­is­mos inter­nos de controle.

Em out­ras palavras, não adi­anta a empre­sa diz­er que faz algo, ela real­mente pre­cisa cumprir com as deter­mi­nações da lei e com o com­pro­mis­so assum­i­do com os tit­u­lares no dia a dia das suas ativi­dades. Políti­cas de Pri­vaci­dade, Ter­mos de Uso e Acor­dos de Proces­sa­men­to de Dados (DPA) são a pon­ta de todo um tra­bal­ho que pre­cisa ser real­iza­do em momen­to anterior.

Sendo assim, é muito impor­tante a con­tratação de con­sul­to­rias téc­ni­cas e jurídi­cas para aux­il­iar a empre­sa nesse cam­in­ho de ade­quação à LGPD, prin­ci­pal­mente para que sejam lev­adas em con­ta as par­tic­u­lar­i­dades do negó­cio. Se o tra­bal­ho não for com­ple­to ou bem exe­cu­ta­do, soluções prontas e super­fi­ci­ais poderão resul­tar, lá na frente, em penal­i­dades e grande risco rep­uta­cional, como este aqui retratado.

Caso sua empre­sa pre­cise de ori­en­tação para se ade­quar à LGPD, o Assis e Mendes con­ta com equipe espe­cial­iza­da em Pri­vaci­dade e Pro­teção de Dados, enga­ja­da em bus­car a mel­hor solução para o seu negó­cio. O con­ta­to poderá ser feito pelo site www.assisemendes.com.br ou pelo email lgpd2020@assisemendes.com.br.