02/08/21 por Camilla Mota em Lei Geral de Proteção de Dados

Agosto de 2021 chegou. Não deixe de conhecer as sanções previstas na LGPD

Agosto de 2021 chegou e com ele a corrida contra o tempo de muitas empresas para se adequarem à Lei Geral de Proteção de Dados (LGPD – Lei n. 13.709/2018) que, na verdade já está em vigor desde 2020.

Por que as empresas estão preocupadas justamente agora? Devido à complexidade da LGPD, foi determinado um prazo de carência para que a lei pudesse ser efetivamente aplicada, de modo que as organizações pudessem, assim, adaptar-se às novas normas. Por força da Lei 14.010/20, as sanções entram em vigor a partir de 1º de agosto de 2021.

É aqui que começam as preocupações dos empresários, principalmente diante das notícias alarmantes veiculadas pela mídia. É fato que o descumprimento da legislação pode acarretar pesadas sanções às empresas. Entretanto, a sanção pecuniária não deve a mais temida pelas empresas quando comparada a outras opções passíveis de serem aplicadas pela Autoridade Nacional de Proteção de Dados (ANPD), algumas podem inviabilizar negócios e até mesmo comprometer a sobrevivência das organizações.

Primeiramente, é importante deixar claro que eventual multa a ser imposta será definida em razão de uma pluralidade de fatores contidos no parágrafo 1° do art. 52 da LGPD. A tão divulgada multa de 50 milhões de reais é apenas um teto referencial de valores, ok?

Agora vamos lá! É preciso deixar claro que sanções administrativas serão cabíveis às pessoas físicas e jurídicas que estiverem em desacordo com os preceitos da LGPD e a sua aplicação será concretizada por meio das decisões da ANPD. Independentemente do tipo de sanção, ela só poderá ser aplicada após oportunizar a ampla defesa e sua aplicação deve ocorrer de forma gradativa, isolada ou cumulativa, de acordo com as peculiaridades do caso concreto e considerados os parâmetros e critérios definidos na lei.

Outro ponto importante é que para que uma penalidade seja aplicada serão considerados diversos fatores:

a gravidade
a natureza das infrações e dos direitos pessoais afetados
a boa-fé do infrator
a vantagem auferida ou pretendida pelo infrator
sua condição econômica
reincidência
grau do dano
a cooperação do infrator
a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano
adoção de política de boas práticas e governança
pronta adoção de medidas corretivas

E, por fim e não menos importante: a proporcionalidade entre a gravidade da falta e a intensidade da sanção.

Com estes pontos esclarecidos, agora vamos conhecer as sanções previstas na LGPD:

Advertência, com a indicação de prazo para a adoção de medidas corretivas;
Multa simples de até 2% do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada a R$ 50 milhões por infração;
Multa diária, respeitado o limite do art. 52, II, da LGPD;
Publicização da infração após devidamente apurada e confirmada a sua ocorrência. Essa penalidade tem o objetivo de atingir o valor reputacional da empresa;
Bloqueio dos dados pessoais (limitação temporária no tratamento de dados) a que se refere a infração até a sua regularização;
Eliminação dos dados pessoais (apagamento definitivos) a que se refere a infração;
Suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de seis meses, podendo ser prorrogado por igual período, até a regularização da atividade de tratamento pelo controlador;
Suspensão do exercício da atividade de tratamento de dados pessoais a que se refere a infração pelo período máximo de seis meses, podendo ser prorrogado por igual período;
Proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.

Quer conhecer também algumas peculiaridades das sanções? No caso da advertência, será sempre acompanhada da indicação de um prazo para adoção de medidas corretivas. A multa simples, por sua vez, pode ser de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, e limitada, no total, a R$ 50 milhões de reais por infração e a multa diária observará o limite total a que se refere a multa simples.

As demais sanções podem consequenciais como, por exemplo, a publicização da infração, o bloqueio dos dados pessoais a que se refere a infração até a sua regularização, a eliminação dos dados pessoais, a suspensão temporária e parcial do funcionamento do banco de dados, a suspensão do exercício da atividade de tratamento dos dados por tempo determinado e, por fim, a proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados. Nesses casos, é importante identificar os sujeitos envolvidos com o tratamento de dados para que seja possível analisar as condutas individualmente caso haja a suspeita de uma infração.

Verificou que sua empresa incorreu em algum ato contrário do que prevê a LGPD? O primeiro passo é identificar os sujeitos envolvidos na infração. É importante identificar se foi cometida por agente interno ou externo. O agente interno é aquele membro da companhia ou por ela designado para exercer atos relativos ao tratamento de dados pessoais que possui acesso a eles por serem controladores, operadores ou encarregados. O agente externo, por sua vez, será aquele estranho à relação de tratamento de dados – como, por exemplo, um hacker.

Aqui verificamos uma outra informação importante: a LGPD abrange somente a atuação dos sujeitos internos: a atuação dos agentes externos será tipificada tendo-se em vista o Código Penal Brasileiro e eventuais leis específicas. A propósito, a LGPD prevê condutas sancionatórias apenas em âmbito administrativo, sem prejuízo de aplicações de outras sanções e/ou tipos penais, se for o caso. Lembrando-se: todas as sanções previstas na LGPD também podem ser aplicadas às entidades e aos órgãos públicos, sem prejuízo do disposto nas leis que regulamentam o exercício da atividade pública.

Outro ponto que merece atenção é que a suspensão parcial ou total do funcionamento do banco de dados a que se refere a infração e a proibição parcial, ou total do exercício de atividades relacionadas a tratamento de dados só serão aplicadas se já houver sido imposta ao menos uma das penalidades a seguir: multa simples, multa diária, publicização, bloqueio dos dados pessoais e/ou eliminação dos dados pessoais a que se referem a infração.

Em nossa prática, quando explicamos aos clientes sobre a LGPD e suas implicações verificamos que muitos entendem que se trata de uma lei exclusivamente voltada para a proteção dos indivíduos. Entretanto, seu objetivo maior é estimular que os agentes de tratamento adotem e pratiquem como cultura corporativa as boas práticas de privacidade e proteção de dados. Nesse ponto, sempre chamamos a atenção para oportunidades que estas práticas podem trazer aos negócios. Conhecer sanções e penalidades é importante, mas ainda mais relevante é utilizar a adequação à LGPD como estratégia para o desenvolvimento empresarial.

Compartilhe

Artigos , Direito imobiliário

11/03/24 por Cristina Viana

Locação de imóveis: as limitações da cláusula de renúncia às benfeitorias em locação

Em recente julgamento, o STJ (RECURSO ESPECIAL 1931087 - SP (2020/0197326-9) decidiu que a típica cláusula em contratos de locação em que o [...]

Sua empresa está preparada para o Domicílio Judicial Eletrônico?

A partir do dia 1º de março de 2024 começou a correr um importante prazo de 90 dias para as grandes e médias empresas brasileiras: o cadastro [...]