Com sanções administrativas da LGPD entrando em vigor, empresas poderão ser punidas em três esferas
Por Kleber Paulino de Souza
Desde 1º de agosto de 2021, a Autoridade Nacional de Proteção de Dados (ANPD) já pode aplicar sanções administrativas previstas na Lei Geral de Proteção de Dados (LGPD).
A parte da LGPD que determina parâmetros e obrigações sobre tratamento de dados já está em vigor desde setembro de 2020. A diferença é que, agora que a parte da lei que determina sanções também entrou em vigor, há mais uma esfera para que as empresas sejam punidas: a esfera administrativa. Afinal, as sanções da LGPD podem ser cumulativas com a responsabilidade civil ou criminal.
Na área cível, destacamos uma sentença proferida pela 9ª Vara Cível de Brasília/DF, em 19/03/2021, condenando um portal de notícias a remover trechos de matérias que divulgavam dados pessoais sensíveis, e a indenizar os titulares desses dados a título de danos morais (processo n.º 0728278-97.2020.8.07.0001).
Já na área criminal, o descumprimento da LGPD pode ter relação com crimes de invasão de dispositivo informático, ou outros.
Assim, por exemplo, é possível que uma empresa seja multada pela ANPD, e ao mesmo tempo, condenada judicialmente a restituir alguém em perdas e danos ou danos morais. Aliás, é possível até mesmo haver aplicação de mais de uma sanção administrativa pela ANPD (por exemplo: multa e bloqueio de dados).
Daí se vê quão grande pode ser o prejuízo de uma empresa que não implementa a LGPD adequadamente, pois ela pode sofrer sanções em três esferas (administrativa, cível e criminal), com no mínimo uma sanção em cada esfera.
Conheça as sanções que a ANPD pode aplicar
A empresa que deixa de cumprir as regras da LGPD pode receber alguma das sanções abaixo:
- advertência e determinação de medidas corretivas;
- multa única de até 2% do faturamento da empresa ou grupo econômico, podendo chegar ao limite máximo de R$ 50 milhões por infração;
- multa diária, também podendo chegar ao limite máximo de R$ 50 milhões por infração;
- publicização da infração após devidamente apurada e confirmada a sua ocorrência;
- bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
- eliminação dos dados pessoais a que se refere a infração;
- suspensão parcial do funcionamento do banco de dados a que se refere a infração, pelo período máximo de 6 meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;
- suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período;
- proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
Quais são os critérios para determinar a sanção, o valor da multa ou o prazo das restrições?
A sanção a ser aplicada pela ANPD será determinada e aplicada após a apuração do caso, a ser feita mediante um processo administrativo. Ou seja: não se trata de uma autuação automática, como uma multa de trânsito. Quando for detectado a conduta ilícita da empresa, será instaurado um procedimento administrativo, e deve ser dado à empresa o direito de se defender, assim como em qualquer outro processo administrativo ou judicial.
Se, ao fim desse processo, a ANPD entender que cabe aplicação de sanção, essa sanção levará em consideração parâmetros e critérios como:
- a gravidade e a natureza das infrações e dos direitos pessoais afetados;
- a boa-fé do infrator;
- a vantagem auferida ou pretendida pelo infrator;
- a condição econômica do infrator;
- a reincidência;
- o grau do dano;
- a cooperação do infrator;
- a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados;
- a adoção de política de boas práticas e governança;
- a pronta adoção de medidas corretivas;
- a proporcionalidade entre a gravidade da falta e a intensidade da sanção.
Quando começaram as punições da LGPD?
Abstratamente falando, as sanções da LGPD começaram a valer em 01/08/2021.
Entretanto, há quem entenda que ainda precisa ser publicado o regulamento próprio sobre sanções administrativas a infrações, conforme determinado no artigo 53 da LGPD. Este regulamento deve apresentar objetivamente as formas e dosimetrias para o cálculo do valor-base das sanções de multa.
De qualquer maneira, é extremamente recomendável que as empresas mantenham rigor na implementação da LGPD. Lembramos que sanções cíveis e criminais podem incidir a qualquer momento, de forma independente da LGPD.
Busque assessoria jurídica especializada. Este é um artigo informativo e não equivale a consulta jurídica.
