News Direito Digital e Proteção de Dados Nº 682

30 . 07 . 2021

Importante: Entrada em vigor das sanções previstas na LGPD

A partir de 01/08/2021, entram vigor as sanções administrativas que podem ser aplicadas pela Autoridade Nacional de Proteção de Dados (“ANPD”). As Organizações, em razão das infrações cometidas às normas previstas na Lei Geral de Proteção de Dados (“LGPD”), estarão sujeitas às seguintes sanções administrativas aplicáveis pela ANPD:

­

I.        advertência, com indicação de prazo para adoção de medidas corretivas;

II.       multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;

III.      multa diária;

IV.      publicização da infração após devidamente apurada e confirmada a sua ocorrência;

V.       bloqueio dos dados pessoais a que se refere a infração até a sua regularização;

VI.      eliminação dos dados pessoais a que se refere a infração;

VII.     suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;

VIII.    suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período;

IX.      proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.

 ­

Com a entrada em vigor dessa parte remanescente da norma, a partir de 01/08/2021, a LGPD passa ter eficácia plena em sua integralidade. No entanto, a efetiva aplicação das sanções administrativas ainda depende da conclusão de algumas etapas, que já foram iniciadas pela ANPD.

A LGPD estabelece que a ANPD definirá as metodologias que orientarão o cálculo do valor-base das sanções de multa, por meio de regulamento próprio sobre sanções administrativas a infrações, que deverá ser objeto de consulta pública.

Nesse sentido, a ANPD, em 28/05/2021 publicou e submeteu à consulta pública, a minuta da Resolução que estabelece o mecanismo de fiscalização que ANPD pretende adotar, com previsão de ações de monitoramento, orientação, prevenção e aplicação de sanção.

A consulta pública foi encerrada em 28/06/2021 e recebeu mais de 2000 contribuições dos mais variados segmentos da sociedade.  Todo o conjunto de contribuições está sendo analisado pela Coordenação-Geral de Normatização da ANPD, a qual emitirá uma Nota Técnica com a proposta do texto final da Resolução para deliberação do Conselho Diretor da ANPD. Enfim, mesmo com a entrada em vigor das sanções administrativas, as regras do jogo ainda estão pendentes de definição.

Independentemente da definição ou não das regras da ANPD, há que se ter em conta que as Organizações já estão passando por um escrutínio administrativo e/ou judicial acerca do tratamento inadequado dos dados pessoais, o que reforça o alerta para aquelas Organizações que ainda não buscaram tomar as medidas necessárias à sua conformidade com a LGPD.

Nesse sentido, a SENACON (Secretaria Nacional do Consumidor), o CADE (Conselho Administrativo de Defesa Econômica) e o Ministério Público, por meio de Termos de Ajustamento de Conduta, já estão defendendo os interesses da população que se sentiu lesada ou prejudicada com relação à proteção de dados, sem contar as ações individuais e coletivas já ajuizadas antes mesmo da entrada em vigor das sanções por parte da ANPD.

Em pesquisa realizada pela empresa JUIT e divulgada pela Folha de S. Paulo, desde 18 de setembro de 2020 a 25 de junho deste ano foram registradas cerca de 600 sentenças judiciais, onde empresas são questionadas pelo uso dos dados pessoais de cidadãos.

Por outro lado, a ANPD, no processo de construção do seu modelo de fiscalização, tem externado publicamente que pretende seguir a lógica da regulação responsiva baseado nos parâmetros e critérios trazidos pela própria LGPD. Isto revela o caráter educacional de sua atuação, sem perder de vista o caráter repressivo.  Esse modelo sugere a adoção de incentivos positivos e negativos entre as transgressões à LGPD e seu tratamento de acordo com a sua gravidade.

Espera-se que os incentivos motivem os regulados a manterem um comportamento adequado e a LGPD já sinaliza nesse sentido ao tratar da adoção de boas práticas de governança e listar os requisitos mínimos de um programa de governança em privacidade, quais sejam:

a) demonstração do comprometimento da Organização em adotar processos e políticas internas que assegurem o cumprimento, de forma abrangente, de normas e boas práticas relativas à proteção de dados pessoais;

b) ser aplicável a todo o conjunto de dados pessoais que estão sob o controle, independentemente do modo como se realizou sua coleta;

c) ser adaptado à estrutura, à escala e ao volume de suas operações, bem como à sensibilidade dos dados tratados;

d) estabelecimento de políticas e salvaguardas adequadas com base em processo de avaliação sistemática de impactos e riscos à privacidade;

e) objetivo de estabelecer relação de confiança com o titular, por meio de atuação transparente e que assegure mecanismos de participação do titular;

f) estar integrado a sua estrutura geral de governança e estabeleça e aplique mecanismos de supervisão internos e externos;

g) contar com planos de resposta a incidentes e remediação; e

h) ser atualizado constantemente com base em informações obtidas a partir de monitoramento contínuo e avaliações periódicas.

De modo que, se revela de fundamental importância que as Organizações entendam seu papel na construção de uma cultura de privacidade e no fortalecimento da confiança na relação com os Titulares dos Dados Pessoais, que também contribuirá para a sustentabilidade de seus negócios.

­

ESTE BOLETIM É MERAMENTE INFORMATIVO E RESTRITO AOS NOSSOS CLIENTES E COLABORADORES. FICAMOS À DISPOSIÇÃO PARA EVENTUAIS ESCLARECIMENTOS SOBRE A(S) MATÉRIA(S) AQUI VEICULADA(S).