A Lei Geral de Proteção de Dados Pessoais ( LGPD ), Lei nº 13.709 de 14 de agosto de 2018, dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, com o objetivo de proteger as pessoas físicas ou também denominadas de titulares de dados, do uso indevido de suas informações.
Isso quer dizer que as empresas públicas e/ou privadas, bem como pessoas físicas que tratam os dados com fins lucrativos, precisam utilizar os dados pessoais com responsabilidade, através de medidas técnicas e administrativas cabíveis para evitar riscos e danos aos titulares de dados, garantindo seus direitos fundamentais. Em caso de não tomar os devidos cuidados previstos em lei, é passível das empresas receberem penalidades.
Vale destacar que a LGPD não é uma criação brasileira, atuando somente em território nacional, e sim, parte de um movimento mundial. Por consequência do crescimento digital, no qual a tecnologia tornou muito fácil o tratamento dos dados pessoais dos cidadãos em todo o mundo, a LGPD nasce como uma defesa aos titulares para não deixar suas informações vulneráveis.
Como acontece a fiscalização da LGPD?
A LGPD trouxe a figura da ANPD (Autoridade Nacional de Proteção de Dados), órgão regulador responsável por zelar, implementar, com natureza normativa e decisória. Atuando também como fiscalizador do cumprimento da LGPD, podendo aplicar as sanções previstas em Lei às empresas em caso de violação da LGPD.
No entanto, alguns pontos a respeito das sanções ainda precisam ser definidos. A lei determina que a ANPD irá criar um regulamento próprio sobre as sanções, que deve ser objeto de consulta pública.
Este regulamento deve incluir as metodologias que vão orientar o cálculo do valor-base das multas. Além de estabelecer as circunstâncias e as condições para a adoção de multa simples ou diária.
Em agosto de 2022, a ANPD abriu para consulta pública por 30 dias para envio de contribuições para o texto base da dosimetria (cálculo que define a pena). Segundo a ANPD, foram enviadas 2.504 contribuições de diferentes segmentos da sociedade civil. O documento encontra-se em fase final de elaboração.
A LGPD prevê que as sanções serão aplicadas exclusivamente pela ANPD, porém outros agentes fiscalizadores também podem trabalhar cooperando com a implementação das diretrizes da Lei, como SENACON, PROCON e o CADE por exemplo.
Importante dizer que é possível qualquer titular de dados, que tenha sofrido uma suposta infração contra a LGPD pela empresa, realize a denúncia/comunicação à própria ANPD, através de peticionamento eletrônico e de forma gratuita seguindo as informações disponíveis no portal.
Utilizar o tipo de processo de proteção de dados, “ANPD – Denúncia LGPD”.
Quais os riscos de não se adequar à LGPD?
No caso da Organização não se encontrar em conformidade com a LGPD, é possível que ela seja fiscalizada e autuada pela ANPD, através de um devido processo administrativo que possibilite a ampla defesa, o contraditório e o direito de recurso. A Lei trouxe as seguintes sanções administrativas:
- Advertência, com prazo para corrigir as infrações;
- Multa simples de até 2% do faturamento da empresa no ano anterior, até́ o limite de R$50 milhões por infração;
- Multa diária de até́ 2% do faturamento da empresa no ano anterior, até um limite de R$50 milhões por infração;
- Publicização da infração cometida;
- Bloqueio dos dados pessoais relacionados à infração;
- Eliminação dos dados pessoais relacionados à infração;
- Suspensão parcial do funcionamento do banco de dados referente a infração pelo período máximo de seis meses, prorrogável por igual período;
- Suspensão da atividade de tratamento dos dados pessoais referente a infração pelo período máximo de seis meses, prorrogável por igual período;
- Proibição parcial ou total das atividades relacionadas a tratamento de dados.
Além da responsabilização administrativa acima mencionada, há a possibilidade também da empresa ser responsabilizada de forma Civil, do titular de dados exigir indenizações caso tenha os seus dados pessoais vazados, bem como de forma Criminal.
A LGPD já acumula casos nos tribunais e começa a ter delineadas as principais tendências sobre como a ela é aplicada pelo Judiciário.
Por fim, também há possibilidade de consequências adicionais para àquelas organizações que não estão adequadas à LGPD, como?
- Danos à reputação, quando os consumidores já não terão confiança em compartilhar seus dados pessoais ao descobrirem que a empresa possibilitou o vazamento de dados;
- Problemas financeiros em razão da previsão de multas muito altas que até podem ocasionar a falência da empresa, bem como gasto com investigações, defesa administrativas e, implementação de medidas de remediação;
- Perda de competição no mundo dos negócios.
Multas e sanções decorrentes do descumprimento da LGPD
Importante lembrar que as sanções administrativas previstas em Lei só serão aplicadas após o devido procedimento administrativo que possibilite a oportunidade da ampla defesa, de forma gradativa, isolada ou cumulativa, de acordo com as características do caso concreto e considerados os seguintes parâmetros e critérios:
I – a gravidade e a natureza das infrações e dos direitos pessoais afetados;
II – a boa-fé do infrator;
III – a vantagem auferida ou pretendida pelo infrator;
IV – a condição econômica do infrator;
V – a reincidência;
VI – o grau do dano;
VII – a cooperação do infrator;
VIII – a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados, em consonância com o disposto no inciso II do § 2º do art. 48 desta Lei;
IX – a adoção de política de boas práticas e governança;
X – a pronta adoção de medidas corretivas; e
XI – a proporcionalidade entre a gravidade da falta e a intensidade da sanção.
Ou seja, as boas práticas de governança adotadas pelos agentes de tratamento (controlador e operador de dados) poderão ser consideradas atenuantes no momento da aplicação da multa.
Neste sentido, a Resolução CD/ANPD 1, determina o processo de fiscalização da atuação responsiva, que, teoricamente, privilegia agentes que realizam tratamento de dados virtuosos, adotando medidas preventivas e mostrando diligências para evitar atos ilícitos contra a proteção e a privacidade de dados.
Além disso, os vazamentos individuais ou os acessos não autorizados desta Lei poderão ser objeto de conciliação direta entre a empresa, controlador de dados, e titular e, caso não haja acordo, o controlador fica sujeito à aplicação das penalidades de que trata este artigo.
O valor da sanção de multa diária aplicável às infrações a esta Lei deve ser feito ao observar a gravidade da falta e a extensão do dano ou prejuízo causado e ser fundamentado pela autoridade nacional.
No cálculo do valor da multa de que trata o inciso II do caput deste artigo, a autoridade nacional poderá considerar o faturamento total da empresa ou grupo de empresas, quando não dispuser do valor do faturamento no ramo de atividade empresarial em que ocorreu a infração, definido pela autoridade nacional, ou quando o valor for apresentado de forma incompleta ou não for demonstrado de forma inequívoca e idônea.
O produto da arrecadação das multas aplicadas pela ANPD, inscritas ou não em dívida ativa, será destinado ao Fundo de Defesa de Direitos Difusos.
Entretanto, para que se inicie um procedimento administrativo para apuração de um incidente de segurança, como um vazamento de dados, por exemplo, se faz necessária a publicação da norma reguladora de dosimetria, garantindo assim o devido processo legal, o contraditório e ampla defesa dos agentes regulados.
Como dito acima, o documento encontra-se em fase de conclusão. Acreditamos que no primeiro semestre de 2023 já teremos informações sobre a aplicação de sanções da ANPD às Organizações que violaram diretrizes da Lei.
Como se adequar à LGPD?
A Organização precisa aderir ao Programa de Compliance voltado à Segurança da Informação e Privacidade dos Dados Pessoais, garantindo o bom uso no tratamento dos dados pessoais, de forma responsável, para trazer confiança aos clientes, bem como para evitar punições ou sanções operacionais restritivas que possam trazer danos irreversíveis ao negócio.
A própria LGPD recomenda fortemente que se adote um modelo de governança, com preparo operacional, técnico e jurídico. As empresas precisam ter políticas implementadas, controles, métricas de acompanhamento da evolução de seus processos internos através de um ciclo PDCA, treinamentos e muita conscientização aos colaboradores.
Conte com a consultoria da HSBS para adequar sua empresa à lei e saber tudo sobre a LGPD. A HSBS possui profissionais qualificados para tornar mais simples para sua empresa atender às exigências da nova lei.
Seguimos a metodologia baseada nas ISOs 27.001 (SGSI) e 27.7001 (SGPI) para assegurar a adequação de todos os processos na sua empresa.
JÚLIA MAYARA MEDEIROS
Advogada, especialista em Direito Digital. Pós-graduada em Direito Digital e LLM em Direito Empresarial. Membro da ANPPD (Associação Nacional dos Profissionais de Privacidade de Dados). Também da ANADD (Associação Nacional de Advogados do Direito Digital) – Comitê de Relações Trabalhistas no Digital. E da Comissão de Direito de Proteção de Dados da OAB/PE. Certificada DPO.