Saiba mais sobre as sanções da Lei Geral de Proteção de Dados Saiba mais sobre as sanções da Lei Geral de Proteção de Dados

Saiba mais sobre as sanções da Lei Geral de Proteção de Dados

Quais são as penalidades impostas àqueles que descumprirem a LGPD?

 

Por Daniela Froener e Layon Lopes*

Como é sabido, a Lei Geral de Proteção de Dados (LGPD) é lei que tem como objetivo regular o tratamento de dados pessoais no Brasil, estipulando, para tanto, diversas regras. Já a Autoridade Nacional de Proteção de Dados (ANPD) é órgão federal que, instituído pela LGPD, tem por objetivo regular o cumprimento desta, podendo implementar, para tanto, regulamentos com procedimentos para viabilizar o cumprimento das regras prevista na LGPD.

Porém, de nada adianta haver regras e procedimentos definidos, bem como uma autoridade nacional para supervisionar o cumprimento da legislação, se não houverem sanções aos infratores. Assim, a LGPD, além de regular o tratamento de dados pessoais, também determinou sanções para aqueles que descumprirem as suas disposições.

Desta forma, a referida legislação determinou aos agentes de tratamento de dados, em razão das infrações cometidas às normas previstas na LGPD, a sujeição às seguintes sanções administrativas a serem aplicáveis pela ANPD.

Antes de analisarmos as sanções, esclarece-se que, nos termos da LGPD, entende-se por agentes de tratamento de dados: os controladores e os operadores; sendo o controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais; e, o operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.

Agora, vejamos as nove sanções previstas na LGPD:

1) advertência, com indicação de prazo para adoção de medidas corretivas;

2) multa simples, de até 2% do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 por infração;

3) multa diária, observado o limite total de R$ 50.000.000,00 por infração, devendo o valor da sanção de multa diária aplicável às infrações observar a gravidade da falta e a extensão do dano ou prejuízo causado e ser fundamentado pela ANPD.

4) publicização da infração após devidamente apurada e confirmada a sua ocorrência;

5) bloqueio dos dados pessoais a que se refere a infração até a sua regularização;

6) eliminação dos dados pessoais a que se refere a infração;

7) suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de seis meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;

8) suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de seis meses, prorrogável por igual período;

9) proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.

As sanções dispostas nos itens 7, 8 e 9, somente podem ser aplicadas após já ter sido imposta ao menos uma das sanções previstas nos itens 2, 3, 4, 5 e 6.

Ademais, somente serão aplicadas sanções após a realização de procedimento administrativo que possibilite a ampla defesa do acusado. Bem como, as penalidades serão impostas de forma gradativa, isolada ou cumulativa, de acordo com as peculiaridades do caso concreto, de acordo com os seguintes parâmetros e critérios:

1) a gravidade e a natureza das infrações e dos direitos pessoais afetados;

2) a boa-fé do infrator;

3) a vantagem auferida ou pretendida pelo infrator;

4) a condição econômica do infrator;

5) a reincidência;

6) o grau do dano;

7) a cooperação do infrator;

8) a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados;

9) a adoção de política de boas práticas e governança;

10) a pronta adoção de medidas corretivas; e

11) a proporcionalidade entre a gravidade da falta e a intensidade da sanção.

A exceção quanto a instauração de processo administrativo, pela ANPD, para apuração de infrações e aplicação de sanções acontecerá quando o controlador sofrer com vazamentos individuais ou acessos não autorizados. Nestes casos, o controlador poderá realizar acordo com o titular dos dados, sendo que, somente com a não realização do acordo, é que o controlador estará sujeito à aplicação das penalidades previstas na LGPD.

Por fim, vale frisar que as sanções previstas na LGPD, e aplicadas pela ANPD, não excluem ou substituem possíveis condenações do infrator na esfera cível, penal e/ou consumerista.

Dúvidas? A equipe do Silva | Lopes Advogados pode te ajudar!

*Lopes é CEO do Silva | Lopes Advogados e Froener é COO do escritório.