A LGPD está em vigência plena a partir de agora. E como isso nos afeta?
10 de agosto de 2021, 15h03
No último dia 1º entraram em vigor as sanções da Lei Geral de Proteção de Dados (LGPD), a legislação brasileira que tem como objetivo principal a proteção dos dados pessoais dos indivíduos.
A LGPD foi publicada em 2018, entrou parcialmente em vigor em 2020 e teve a parte das sanções (artigo 52) prevista para entrar em vigência em agosto deste ano, justamente para que toda a sociedade pudesse se adequar às suas disposições, dando tempo para as organizações fazerem o "dever de casa" em relação à conformidade legal, evitando, assim, a surpresa com multas altíssimas.
As sanções vão desde simples advertências até a proibição do tratamento de dados pessoais.
Vejamos as penalidades gradativamente impostas no artigo 52 da LGPD:
"I — advertência, com indicação de prazo para adoção de medidas corretivas;
II — multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50 milhões por infração;
III — multa diária, observado o limite total a que se refere o inciso II;
IV — publicização da infração após devidamente apurada e confirmada a sua ocorrência;
V — bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
VI — eliminação dos dados pessoais a que se refere a infração;
X — suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de seis meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;
XI — suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de seis meses, prorrogável por igual período;
XII — proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados".
Para aplicação das sanções, serão utilizados alguns parâmetros, descritos no parágrafo 1º do artigo 52:
"I — a gravidade e a natureza das infrações e dos direitos pessoais afetados;
II — a boa-fé do infrator;
III — a vantagem auferida ou pretendida pelo infrator;
IV — a condição econômica do infrator;
V — a reincidência;
VI — o grau do dano;
VII — a cooperação do infrator;
VIII — a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados, em consonância com o disposto no inciso II do § 2º do artigo 48 desta lei;
IX — a adoção de política de boas práticas e governança;
X — a pronta adoção de medidas corretivas; e
XI — a proporcionalidade entre a gravidade da falta e a intensidade da sanção".
Como será a aplicação das sanções e multas?
Precisaremos aguardar novas disposições da Autoridade Nacional de Proteção de Dados (ANPD) sobre como será esse processo, pois a entidade ainda está regulamentando suas normas de fiscalização, tendo realizado, inclusive, audiências públicas sobre o assunto.
Serão previstas ações de monitoramento, fiscalização, orientação, prevenção e aplicação de sanção.
Acreditamos que a ANPD adotará uma postura fiscalizatória e também orientativa, agindo gradativamente de acordo com o tipo de incidente e conforme sua gravidade.
Como mitigar os riscos das sanções da LGPD?
Antes mesmo das sanções da nova lei entrarem em vigor, já havia ações judiciais tramitando nos tribunais, com fundamentação na LGPD, em relação, na sua maioria, a vazamentos de dados pessoais ocorridos.
Isso porque nesse período de 2020 até agora, com a vigência parcial da lei, seria possível denunciar organizações que infringiram a legislação à autoridades tais como Ministério Público Estadual e Departamento Estadual de Proteção e Defesa do Consumidor (Procon), ou ingressar com ações judiciais diretamente, na condição de titular de dados pessoais lesado. Só não seria possível impor e cobrar as sanções e multas cabíveis pela lei, pois essa parte da legislação ainda não estava em vigor.
Por isso que nesse período vimos muitos casos de ações judiciais com fundamento na LGPD sendo noticiados na mídia.
Pelo que percebemos dessas ações, os tribunais estão atualizados com o novo trâmite processual da nova legislação e inclusive arbitrando indenizações da ordem de R$ 10 mil, em casos de compartilhamento não autorizado de dados pessoais.
Observando isso, notamos que nesse período as organizações poderiam escapar da possibilidade de serem multadas — pois as sanções não estavam em vigor — mas não escapariam da probabilidade de serem acionadas judicialmente e, eventualmente, correrem os riscos de serem obrigadas a pagarem indenizações aos titulares dos dados que conseguirem comprovar que foram lesados, apontando, por exemplo, que tiveram seus dados compartilhados com empresas terceiras sem seu consentimento.
Agora, portanto, correm um duplo risco: de sofrerem ações judiciais — caso os titulares dos dados tenham motivações para tal — e também de serem penalizadas com as sanções determinadas pela nova lei.
Portanto, é extremamente importante fazer uso desse tempo extra de adequação que todos ganharam, com a estruturação desse processo fiscalizatório a ser implantado pela ANPD e rever como está o nível de adequação da sua organização à LGPD.
Afinal, não há prazo específico para publicação final das normas que regulamentaram as punições previstas pela lei.
Para isso, listamos abaixo alguns pontos para auxiliar sua empresa a mitigar os riscos advindos das novas sanções:
— Avalie o nível de adequação à LGPD no qual sua organização se encontra no momento;
— Realize a adequação à LGPD de forma global, com respaldo técnico e jurídico, contando com profissionais capacitados e com experiência nesse segmento;
— Compreenda o fluxo dos dados pessoais dentro da organização, fazendo um mapeamento: quais os dados pessoais tratados? Que tipos de dados (cadastrais, sensíveis, financeiros, de menores de idade etc.) são tratados? Quem são seus titulares? Há base legal que fundamente esse tratamento?
— Elabore um relatório de diagnóstico e de análise de risco com base nos resultados encontrados;
— Revise as normas e políticas de segurança da informação;
— Revise os processos internos da organização;
— Revise o site da organização;
— Revise os tipos de contratos; termos de uso, política de privacidade e demais documentos jurídicos;
— Elabore um termo de conformidade com a LGPD para assinatura com parceiros, fornecedores e prestadores de serviços;
— Conscientize os colaboradores;
— Implemente e adapte instrumentos de governança corporativa;
— Procure por soluções tecnológicas ao final do processo de adequação;
— Mantenha o monitoramento e atualização constantes de todos os processos e procedimentos implantados e teste-os periodicamente.
Encontrou um erro? Avise nossa equipe!