Sanções LGPD: Fique de olho em como elas podem te afetar!
Os olhos de milhares de empresas se voltaram às sanções da LGPD, que entraram em vigor em 1° de agosto de 2021. Depois de um ano se acostumando às normas, agora inúmeras companhias começarão a ser penalizadas por descumprimentos à Lei Geral de Proteção de Dados. As violações podem ser de diferentes tipos, fazendo com que as penas administrativas também mudem.
Casos de vazamentos de dados e demais ocorrências ainda não receberão multas, mas poderão sofrer duras punições. Pelo menos é isso que o Planalto dá a entender ao efetivar tais sanções.
Dessa forma, após um período de experiência, as organizações agora estão sujeitas a sofrer graves danos, financeiros e legais, se não respeitarem as regras. Ao menos é essa a esperança que o ato traz aos consumidores.
Para entender melhor quais são as sanções da LGPD e as expectativas do mercado, confira o texto abaixo. Com ele, poderá compreender como serão aplicadas tais penas e a melhor forma de proteger sua empresa nesse cenário ainda desconhecido.
ANPD: Qual o seu papel na aplicação das sanções da LGPD?
Desde que foi criada, a Lei Geral de Proteção de Dados levantou dúvidas sobre quem seria responsável por fiscalizar seu cumprimento. Para isso, em julho de 2019 surgiu a ANPD — Autoridade Nacional de Proteção de Dados — a qual foi incumbida de tratar do tema. Em especial, o órgão tem como foco a fiscalização e, agora, a aplicação das sanções da LGPD.
Segundo o próprio Governo Federal:
“A LGPD determina que a ANPD deverá editar regulamento próprio sobre sanções administrativas, que deverá ser objeto de consulta pública, contendo as metodologias que orientarão o cálculo do valor-base das sanções de multa.”
Com isso, entende-se que a agência terá liberdade e respaldo para cumprir seu trabalho com eficiência. Mais do que apenas ter alguém para garantir o cumprimento da norma, há outro fator que ajudou na criação do órgão.
Este é um dos requisitos para haver uma colaboração com a Comissão Europeia, permitindo a transação de dados pessoais com países da UE. Neste momento, a agência está realizando uma avaliação da ANPD para entender seu nível de comprometimento com a proteção de dados.
A entrada em vigor da LGPD e suas sanções
A Lei Geral de Proteção de Dados foi sancionada em 2018, mas o início de sua vigência se deu apenas em agosto de 2020. Neste primeiro momento, tanto consumidores quanto empresas puderam se adaptar à ideia e entender a norma.
Até agosto de 2021, não haveria multas ou sanções por conta da LGPD. A data limite, então, se encerrou há pouco mais de um mês. Com isso, desde o dia 1° de agosto de 2021 as punições já podem ser aplicadas a qualquer organização que violar a lei.
Entende-se, portanto, que a fiscalização, feita de maneira paliativa até então, passa a ser mais eficaz. Ainda que estas não sejam o foco da regra, as sanções podem e devem ocorrer para que haja um controle correto. Sendo assim, o primeiro passo é a educação a respeito do assunto.
Segundo a Diretora da ANPD, Miriam Wimmer, em entrevista para a Casa Jota:
“Entendemos que as sanções são fundamentais, porque sem elas o restante da pirâmide desmorona, mas não como principal medida ou a mais eficaz. Por isso a autoridade tem investido em educação para formar cultura sobre o tema.”.
Conheça as sanções administrativas previstas na LGPD
Com foco nas sanções da LGPD em si, é preciso destacar que há diferentes tipos e níveis de punição. A escolha por cada uma ficará a cargo da ANPD, que passará por um processo de avaliação para definir o mais indicado para cada caso.
Independentemente do que for acertado, as penas incluem as mais diversas situações, provenientes de descuidos na proteção de dados e descumprimentos à lei. Por isso, 9 são as sanções administrativas às quais uma organização está sujeita em caso de violação.
Estas apresentam um rol variado, o qual tem como objetivo se adequar às diferentes circunstâncias. Assim, de acordo com a gravidade do ato, inúmeras são as possibilidades de punição por parte da ANPD.
1. Advertência
Para casos mais simples, está disponível para aplicação a advertência sem multas. Nesse cenário, além do documento, a empresa recebe também a indicação de um prazo para adotar medidas corretivas. Em caso de não cumprimento, punições mais severas podem ser aplicadas
2. Multa simples
Ainda não disponível para aplicação neste momento de transição, a multa já se encontra na descrição das sanções da LGPD. Dividida em dois tipos, o primeiro se refere à multa simples, a qual representa até 2% do faturamento da pessoa jurídica. Para isso, é considerado o valor sem os tributos, e há um limite de até 50 milhões de reais por infração.
3. Multa diária
Outro cenário previsto no regulamento é de uma multa diária, a qual se difere do item anterior. Nesse caso, o valor está diretamente relacionado ao tempo pelo qual a infração perdurou. Novamente, fica definido o limite de 50 milhões de reais para cada situação incorreta averiguada.
4. Publicização
Outra maneira de aplicar as sanções da LGPD é por meio da publicização da infração. Esta modalidade apenas se encontra disponível após a infração ser devidamente apurada e sua ocorrência confirmada. Neste caso, a penalidade passa a ser exposta publicamente por meio da entrada do poder executivo no processo.
5. Bloqueio de dados
Para evitar que um vazamento de dados continue a ocorrer em uma situação em investigação, há a possibilidade de bloquear esse material. Aqui, o foco está no impedimento da utilização de dados pessoais que se refiram à infração, pelo menos até sua devida regularização.
6. Eliminação de dados
Se comprovada a infração, é possível que a ANPD utilize de uma sanção mais pesada da LGPD. Para isso, ela pode solicitar a eliminação dessa informação do banco de dados da companhia. É preciso deixar claro, entretanto, que essa exclusão se limita apenas ao material referente à infração.
7. Suspensão parcial
No caso de uma investigação em andamento a ANPD pode definir como sanção a suspensão parcial desse banco de dados. A agência tem como opção suspender o funcionamento deste por um período máximo de 6 meses. Ainda assim, pode prorrogar por mais 6 meses até a regularização no tratamento dos dados.
8. Suspensão da atividade
Em cenários mais complexos, uma alternativa é a de suspender por completo a atividade de tratamento de dados. Nesse caso, a empresa em questão não pode realizar esse exercício no que se refere à infração por um período de 6 meses. Novamente, a ANPD pode solicitar uma prorrogação de mais 6 meses caso julgue necessário.
9. Proibição parcial ou total
Quando a situação se agrava demais, o último recurso do órgão é aplicar sanções da LGPD mais rigorosas. Com este fim, a ANPD pode determinar a proibição parcial ou até total do exercício de qualquer atividade ligada ao tratamento de dados. Dessa forma, evita-se que a organização continue a pôr em risco a privacidade dos brasileiros.
O mercado brasileiro está preparado para as sanções da LGPD?
Infelizmente, o que se vê no Brasil atualmente é uma realidade em que a grande maioria das empresas não está preparada para a LGPD e suas sanções. Mesmo com o aumento no investimento em segurança online, os esforços ainda não se validam, sendo comum analisar grandes vazamentos de dados.
Esses, em geral, vêm de companhias de presença nacional e com capacidade de investimento, colocando em xeque como estão as menores e menos poderosas. Em 2019, a gigante americana McDonald ‘s teve mais de 2 milhões de dados sensíveis vazados.
Entre eles, era possível verificar nome, faixa etária, cargo, etnia e salário de inúmeros trabalhadores. Além destes, ficaram vulneráveis também registros de contratação, fichas de demissão e listas de fornecedores.
O mesmo ocorreu com a fintech Banco Inter, um ano antes, quando dados de 19 mil correntistas foram vazados. Em um ataque hacker, senhas, códigos de verificação, dados pessoais e até declarações de imposto de renda foram expostos.
Após acordo com o Ministério Público, a empresa pagou uma multa de 1 milhão de reais, valor destinado a instituições de caridade e organizações contra o crime cibernético.
Conte com a consultoria Actionsys e diga adeus às sanções da LGPD
Entender corretamente as normas e sanções da LGPD não é tarefa simples. Ainda assim, é de extrema importância haver conhecimento sobre sua aplicação e, principalmente, as sanções da LGPD.
Não à toa, há uma lista de fases a serem seguidas para, somente então, aproveitar os benefícios da LGPD para sua empresa. Essas podem ser descritas, basicamente, como:
- Fase 01: Data Mapping
- Fase 02: Jurídico
- Fase 03: Segurança da informação
Seguir essas etapas, porém, é uma tarefa complicada de se realizar de forma autônoma e interna. O mais indicado para isso é ter o apoio de parceiros, como é o caso da Consultoria LGPD da Actionsys.
A solução é ideal para empresas que começarão a lidar com a norma e precisam de um auxílio. Assim, poderão potencializar seus relacionamentos e viabilizar ganhos ao processo. Esse é um serviço oferecido por quem entende do assunto, e que poderá te ajudar a estar em compliance com a lei.
Ficou interessado? Agende uma reunião com um especialista da ActionSys para mais informações.