Desde 1º.8.2021, encontram-se em vigor os artigos 52 a 54 da Lei Geral de Proteção de Dados (“LGPD”), que estabelecem as sanções administrativas por violação à referida lei.
De acordo com o artigo 52, as seguintes sanções estão previstas:
- advertência, com indicação de prazo para adoção de medidas corretivas;
- multa de até 2% do faturamento da empresa, grupo ou conglomerado, no Brasil, no último exercício, excluídos os tributos, limitada a R$ 50 milhões por infração;
- multa diária, observado o limite total acima;
- publicização da infração;
- bloqueio dos dados pessoais relacionados à infração até a sua regularização;
- eliminação dos dados pessoais relacionados à infração;
- suspensão parcial do funcionamento do banco de dados a que se refere a infração por 6 meses (prorrogável por mais 6 meses) até a regularização da atividade de tratamento;
- suspensão, por igual período, do exercício da atividade de tratamento dos dados pessoais relacionados à infração; e
- proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
As referidas sanções somente serão aplicadas após o devido procedimento administrativo realizado pela Autoridade Nacional de Proteção de Dados (“ANPD”), garantindo a ampla defesa do agente de tratamento, que poderá, neste momento, demonstrar (i) a adoção de políticas de boas práticas e governança de privacidade e proteção de dados; (ii) a adoção de mecanismos e procedimentos internos capazes de minimizar o dano ao titular do dado; e (iii) a pronta adoção de medidas corretivas para evitar novas infrações do tipo.
Tais critérios poderão servir como atenuantes de eventual sanção administrativa e relacionam-se diretamente com o programa de proteção de dados das companhias, incluindo toda sua documentação referente ao tema, como (i) política de privacidade e proteção de dados para os titulares que tenham seus dados tratados pela companhia; (ii) plano de respostas a incidentes envolvendo dados pessoais; (iii) política de retenção de dados; (iv) contratos com terceiros que tratem os dados em nome da companhia (operadores) contendo cláusulas de proteção de dados e definição de responsabilidades; (v) relatórios de impacto à proteção de dados; entre outros.
Importante ressaltar que a ANPD ainda definirá as metodologias que orientarão o cálculo do valor-base das sanções de multa. Tal definição ocorrerá por meio de regulamento próprio sobre sanções administrativas a infrações à LGPD, que deverá ser objeto de consulta pública.
Espera-se, portanto, que, com a entrada em vigor das sanções administrativas, e sua posterior regulamentação pela ANPD, as práticas voltadas à proteção de dados pessoais no Brasil passem a ter maior aderência à LGPD, sob pena de início de processos administrativos e imposição de sanções administrativas àqueles que comprovadamente descumprirem seus dispositivos. A ANPD tem demonstrado que sua atuação será baseada no diálogo, colaboração e promoção da cultura de proteção de dados pessoais, embora também tenha, a partir de agora, os meios jurídicos adequados para cumprimento integral da LGPD.
Continuaremos acompanhando o tema para mantê-los informados.