A Lei Geral de Proteção de Dados Pessoais entrará em vigor em 03/05/2021, e cria regulamentação para o uso, proteção e transferência de dados pessoais no Brasil, nos âmbitos privado e público, e estabelece quem são as figuras envolvidas, bem como suas atribuições, responsabilidades e penalidades no âmbito civil, que podem chegar à multa de 50 milhões de reais por incidente.
A partir da entrada em vigor da legislação, as empresas que solicitam dados pessoais do consumidor deverão manter essas informações em sigilo, sendo que o consumidor, proprietário dos dados, deverá sinalizar seu consentimento de forma expressa para fins de utilização de seus dados, razão pela qual as pessoas jurídicas que ignorarem esta prerrogativa estarão sujeitas à multa.
Dentre as novidades trazidas pela LGPD, uma das que se destaca é a criação da Autoridade Nacional de Proteção de Dados (ANPD), que é responsável por fiscalizar a aplicar as sanções previstas na legislação.
A ANPD regulamenta, através de atos normativos, a forma com que as empresas devem se adequar à legislação. A Agência possui autonomia para editar normas, instruções e procedimentos visando a garantia da privacidade dos titulares, além de fornecer meios simplificados e diferenciados, inclusive quanto aos prazos, para que microempresas e empresas de pequeno porte, bem como startups ou empresas de inovação, possam se adequar à legislação com maior facilidade, para não sofrer as penalidades previstas na lei.
O artigo 52, da LGPD, prevê as sanções que serão aplicadas caso a lei seja descumprida:
- advertência, com indicação de prazo para adoção de medidas corretivas;
- multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
- multa diária, observado o limite total de R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
- publicização da infração após devidamente apurada e confirmada a sua ocorrência;
- bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
- eliminação dos dados pessoais a que se refere a infração;
- suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;
- suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período; e
- proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
As sanções previstas no referido artigo serão aplicadas após a instauração e conclusão de processo administrativo, que possibilitará às empresas o exercício do contraditório e da ampla defesa, de acordo com o previsto na lei.
A ANPD investigará as acusações apresentadas, analisando a materialidade, a autoria e a gravidade da ocorrência, inclusive permitindo que controladores e operadores respondam solidariamente à acusação, mediante comprovação de que participaram direta ou indiretamente para a ocorrência da infração.
A ANPD analisa também a conduta do infrator, que influencia muito as penalidades que serão aplicadas, pois a LGPD valoriza medidas tomadas para redução do dano causado, garantindo que não serão responsabilizados os agentes de tratamento que comprovarem:
- que não realizaram o tratamento de dados que lhes é atribuído;
- que, embora tenham realizado o tratamento de dados pessoais que lhes é atribuído, não houve violação à legislação de proteção de dados; ou
- que o dano é decorrente de culpa do titular dos dados ou de terceiro.
Desta forma, é de extrema importância que todas as empresas invistam em cibersegurança, bem como implementem sistemas de compliance, por advogado especializado, efetivos para prevenir, detectar e remediar violações de dados pessoais, pois, além da necessidade e da ética envolvida, as multas serão notadamente pesadas, além do que a lei prevê que a adoção de política de boas práticas será considerada como critério atenuante de eventuais penas.
