Há um ano, em 1º de agosto de 2021, entraram em vigor os artigos da Lei Geral de Proteção de Dados (LGPD) que preveem a aplicação de sanções administrativas às pessoas físicas e jurídicas, de direito público ou privado, que venham a infringir as normas previstas na Lei.
Neste momento surgiu muita discussão acerca do tema e os empresários passaram a se preocupar, principalmente diante das notícias recorrentes e alarmantes veiculadas pela mídia de vazamento de dados, danos financeiros e reputacionais.
Essa preocupação por parte dos empresários é totalmente justificada quando paramos para analisar as sanções passíveis de aplicação. Estas podem variar desde uma advertência ou aplicação de multa simples, até a exigência de publicização da infração ou eliminação dos dados pessoais.
Pois bem, a sanção pecuniária não deve ser a mais temida pelas empresas. Apesar de que esta pode recair em até 2% (dois por cento) do faturamento da pessoa jurídica, excluídos os tributos e limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração, outras opções de sanções, se aplicadas, podem acarretar a inviabilização dos negócios e até mesmo comprometer a sobrevivência da empresa, como é o caso da proibição do exercício de atividades relacionadas a tratamento de dados.
Neste cenário a Autoridade Nacional de Proteção de Dados (ANPD) é o órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento desta Lei em todo o território nacional, assim como o principal órgão responsável por aplicar as sanções em caso de tratamento de dados realizado em desconformidade com a legislação.
Isto posto, importante saber que independentemente do tipo de sanção, ela só poderá ser aplicada após oportunizada a ampla defesa e a aplicação deve ocorrer de acordo com as peculiaridades do caso concreto e considerados os parâmetros e critérios definidos na lei.
Para que a ANPD aplique uma determinada sanção serão considerados diversos fatores, dentre eles a boa-fé do infrator, a cooperação do infrator, além da demonstração de adoção de política de boas práticas e governança.
Por isso é fundamental que as empresas se adequem à LGPD, adotando medidas de segurança, técnicas e administrativas aptas a protegerem os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito. Institucionalizando assim um Programa de Governança em Privacidade na empresa, conforme previsto no artigo 50 da LGPD.
Essas ações auxiliarão na prevenção de violações de dados pessoais, permitirão que a empresa saiba como agir diante da ocorrência de incidentes, além de demonstrar às autoridades a conformidade da empresa com a LGPD.
Como podemos perceber, a LGPD foi criada com o intuito de proteger os direitos fundamentais de liberdade e privacidade dos titulares de dados, mas acaba por estimular os agentes de tratamento de dados a adotarem e praticarem uma cultura de governança em privacidade e proteção de dados.
Nesse ponto, sempre chamamos a atenção para as oportunidades que a adoção de boas práticas pode trazer aos negócios. Conhecer sanções e penalidades é importante, mas ainda mais relevante é utilizar a adequação à LGPD como estratégia para o desenvolvimento dos negócios.
