A Lei Geral de Proteção de Dados Pessoais – LGPD tem como objetivos principais garantir a privacidade dos titulares de dados pessoais e controlar a atuação das empresas no tratamento de tais dados. Por isso, além de tratar de princípios básicos como finalidade, necessidade, livre acesso, segurança, entre outros, a lei dispõe em seu Capítulo VIII sobre as sanções administrativas que serão aplicadas caso não sejam observados os ditames legais.
Referida lei foi sancionada em 2018. Porém, inicialmente, estaria vigente a partir de agosto de 2020. Acontece que, após várias derivações legislativas, a Medida Provisória 959/2020 foi aprovada e sancionada definindo que a entrada em vigor se daria a partir de setembro de 2020, com penalidades previstas para agosto de 2021.
Após a entrada em vigor da Lei em 18 de setembro de 2020, as empresas que não haviam iniciado o seu processo de adequação começaram a se preocupar com a possibilidade de aplicação das sanções que se darão a partir de agosto de 2021.
Desta forma, as empresas deverão respeitar as hipóteses legais para o tratamento devido dos dados pessoais, devendo ainda, observar o tratamento do mínimo de dados pessoais para atingir a finalidade declarada. Caso a empresa não efetue as determinações legais ou, ainda, ocorra incidentes de segurança que atinja os titulares de dados pessoais, poderá ser aplicada sanções dispostas no Capítulo VIII da LGPD. Lembrando que essas são variáveis conforme a gravidade de cada situação.
A primeira sanção trazida pelo artigo é a advertência, sendo considerada como uma penalidade leve frente as demais trazidas pela LGPD. A advertência é considerada um paradigma do Marco Civil da Internet, conforme seu artigo 12, I.
No tocante ao segundo inciso, este dispõe sobre a multa simples, mas com algumas particularidades importantes. A multa aplicada terá como base o valor referente a 2% do faturamento da pessoa jurídica, devendo ser observado o limite de R$50 milhões de reais por infração.
A terceira penalidade consiste na multa diária frente ao descumprimento das determinações legais ou solicitações das autoridades regulamentadoras, sendo limitada também ao importe de R$ 50.000.000,00 (cinquenta milhões de reais).
A quarta sanção tem caráter reputacional, tendo em vista que o controlador ou operador que deram causa ao tratamento indevido deverão dar publicidade à condenação.
Já a quinta e sexta penalidades, consistem no bloqueio e eliminação dos dados pessoais até sua regularização ou definitiva, respectivamente.
No que tange à suspensão parcial do funcionamento do banco de dados e à suspensão do exercício de atividade de tratamento poderão ocorrer pelo período máximo de seis meses, sendo possível a prorrogação por igual período, sendo que a primeira sanção irá permanecer assim até a regularização da atividade de tratamento.
A penúltima sanção administrativa prevista consiste na proibição parcial ou total do exercício de atividades relacionadas ao tratamento de dados, portanto, o exercício das atividades que envolvem o tratamento de dados deverá ser interrompido, seja total ou parcialmente.
Salienta-se que a pretensão punitiva estatal ocorrerá após o devido processo legal, contraditório e ampla defesa. Assim, a autoridade de proteção deverá avaliar o contexto como um todo, devendo averiguar se o suposto infrator adotou e realizou as medidas de boas práticas e governança, atendimento e realização de medidas corretivas e se ponderou a proporcionalidade e intensidade da possível infração.
Ressalta-se que a fiscalização e a regulamentação ficará a cargo principalmente, mas não exclusivamente, da Autoridade Nacional de Proteção de Dados Pessoais (ANPD) que operará como fiscalizadora do tratamento de dados pessoais e como um ponto de apoio ao titular de dados. Este poderá proativamente enviar sugestões, denúncias e dúvidas ligadas à Lei Geral de Proteção de Dados.
Apesar das punições somente serem aplicadas a partir de agosto de 2021, as obrigações advindas da LGPD e tornam possíveis de serem exigidas, sendo possível, inclusive, a responsabilização civil dos agentes de tratamento em face dos titulares de dados pessoais.
Além das sanções administrativas previstas na Lei Geral de Proteção de Dados Pessoais, há outras punições no ordenamento jurídico brasileiro, como as previstas no Código de Defesa do Consumidor ou Marco Civil da Internet, que poderão ser aplicadas de imediato.
Diante das possíveis aplicações de sanções que acarretarão prejuízos diretos às empresas, é importante que seja realizada a adequação de forma mais rápida possível.
Ficou com alguma dúvida? Gostaria de auxílio para implementar um programa de privacidade na sua empresa? Fale conosco!
Maíla Barreto Rohrer
Analista Jurídica da Every
Comments