Sanções da LGPD em vigor

No dia 1º de agosto de 2021, entraram em vigor os artigos da Lei Geral de Proteção de Dados Pessoais (LGPD) que tratam a respeito das sanções administrativas aplicáveis pela Autoridade Nacional de Proteção de Dados (ANPD).

Já em vigor, o artigo 52 da LGPD dispõe que os agentes de tratamento de dados (controlador e operador) ficam sujeitos às seguintes sanções administrativas aplicáveis pela ANPD em razão das infrações cometidas às normas previstas na LGPD:

advertência, com indicação de prazo para adoção de medidas corretivas;
multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
multa diária, observado o limite total de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
publicização da infração após devidamente apurada e confirmada a sua ocorrência;
bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
eliminação dos dados pessoais a que se refere a infração;
suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;
suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período; e
proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.

No caso de multa, a ANPD poderá considerar para o cálculo do respectivo valor o faturamento total da empresa ou grupo de empresas, quando não dispuser do valor do faturamento no ramo de atividade empresarial em que ocorreu a infração, definido pela autoridade nacional, ou quando o valor for apresentado de forma incompleta ou não for demonstrado de forma inequívoca e idônea.

Conforme relatório semestral de acompanhamento de sua agenda regulatória[1], a ANPD ainda não estabeleceu suas normas para fiscalização e aplicação das sanções administrativas previstas na LGPD.

Importante destacar que, por meio da Portaria nº 11/2021, a ANPD tornou publica sua agenda regulatória para o biênio 2021/2021, a qual prevê apenas para o segundo semestre de 2022 a disponibilização de documento orientando o público sobre as bases e hipóteses legais de aplicação da LGPD (Guia de Boas Práticas).

Neste cenário, ainda caracterizado pela falta de resoluções a respeito da fiscalização e aplicação das sanções administrativas previstas na LGPD e pela ausência de um Guia de Boas Práticas que bem oriente o público, acredita-se que a ANPD deverá adotar, ao menos em um primeiro momento, uma postura muito mais didática do que punitiva.

Embora não se espere muito rigor da ANPD em suas fiscalizações iniciais, mas sim a adoção de estímulos normativos pedagógicos, é de suma importância que as empresas em geral (seja na condição de controladores, seja na condição de operadores) estejam atentas quanto à necessidade de se adotar mecanismos e procedimentos internos voltados ao tratamento seguro e adequado de dados pessoais, capazes de minimizar eventuais danos, até porque a ausência de fiscalização e/ou sanção administrativa por parte da ANPD não afasta os riscos de demandas judiciais, inclusive indenizatórias, propostas pelos próprios titulares dos dados, sindicatos profissionais, órgãos de proteção ao consumidor (Procon) e/ou associações, por exemplo.

Para quem ainda não iniciou processos de adequação, vale reforçar que, segundo expressamente previsto na LGPD, as atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios:

finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;
adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;
necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;
livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;
qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;
transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;
segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;
prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;
não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos; e
responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.

Além da adoção de normas de segurança e de mecanismos internos de supervisão e de mitigação de riscos relacionados ao tratamento de dados pessoais, a comprovação da efetiva realização de ações educativas relacionadas aos direitos dos titulares de dados e dos deveres dos agentes de tratamento é de grande relevância para se evitar sanções administrativas mais rigorosas, principalmente em face os critérios de apuração já estabelecidos na LGPD (art. 52, §1º)[2], ou eventual ação judicial.

[1] Disponível neste link.

[2] Art. 52. Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas nesta Lei, ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional:

§ 1º As sanções serão aplicadas após procedimento administrativo que possibilite a oportunidade da ampla defesa, de forma gradativa, isolada ou cumulativa, de acordo com as peculiaridades do caso concreto e considerados os seguintes parâmetros e critérios:

I – a gravidade e a natureza das infrações e dos direitos pessoais afetados;

II – a boa-fé do infrator;

III – a vantagem auferida ou pretendida pelo infrator;

IV – a condição econômica do infrator;

V – a reincidência;

VI – o grau do dano;

VII – a cooperação do infrator;

VIII – a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados, em consonância com o disposto no inciso II do § 2º do art. 48 desta Lei;

IX – a adoção de política de boas práticas e governança;

X – a pronta adoção de medidas corretivas; e

XI – a proporcionalidade entre a gravidade da falta e a intensidade da sanção.

Vicente Eggers – OAB/RS 91.455, advogado integrante da equipe de profissionais do escritório Garcez Advogados Associados | Assessoria Jurídica do SINDIMETAL RS, nas áreas Trabalhista, Ambiental e de Representação Comercial.

Cookie	Duração	Descrição
cookielawinfo-checbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Blog

Sanções da LGPD em vigor

Últimas notícias

O caminho para a inovação fortalecendo redes colaborativas

Marco regulatório das organizações da sociedade civil – MROSC

Apresentação do Programa Brasil Mais Produtivo

Desoneração da folha de pagamento

Conselho Superior da Justiça do Trabalho – CSJT

NR 01 Direito de recusa ao trabalho

Categorias

Artigos

Associados

Informativos Jurídicos

Notícias