As penalizações da LGPD começam em 2021. Conheça as principais multas e sanções administrativas; e como evitá-las

A Lei Geral de Proteção de Dados (LGPD) já está em vigor desde agosto de 2020. Suas penalizações — multas e sanções administrativas — serão aplicadas a partir de agosto de 2021. Todos os artigos da Lei já estão valendo, com exceção das sanções administrativas.

Mesmo assim, toda atenção e cuidado é importante desde já. O Art. nº 18 da LGPD salienta que o titular dos dados tem direito a obter do controlador — que é a pessoa ou empresa responsável pelo tratamento das informações pessoais —  em relação aos dados do titular por ele tratado, a qualquer momento e mediante requisição:

• da confirmação da existência de tratamento;
• do acesso aos dados;
• da correção de dados incompletos, inexatos ou desatualizados;
• da anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto nesta Lei;
• da portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial;
• da eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16 desta Lei;
• de informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;
• de informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;
• de revogação do consentimento.

Na prática, isso significa que qualquer cidadão poderá questionar as empresas a respeito da maneira de como estas estão tratando os dados pessoais. Se o titular se sentir lesado, poderá recorrer judicialmente.

Dados conservados sem consentimento

Vale lembrar que o art. 16 da Lei autoriza a conservação dos dados pessoais — mesmo após ser eliminado a pedidos do titular — para cumprir uma obrigação legal e/ou regulatória, para um estudo de órgão de pesquisa, que garanta o anonimato; para transferência a terceiro, respeitando os requisitos legais e para uso exclusivo do controlador, desde que os dados sejam anonimizados. O consentimento do uso dos dados é obtido previamente por meio de bases legais, que são previstas na LGPD.

As penalizações já podem acontecer

Outra questão importante é que órgãos que fazem defesa, como o caso do Procon e Ministério Público, por exemplo, já poderão ingressar judicialmente contra as empresas, exercendo o direito de petição. E isso foi o que aconteceu no primeiro processo cível da LGPD, quando o Ministério Público do Distrito Federal entrou com uma ação contra uma empresa data broker, que vendia dados pessoais — algo que fere a Lei.

Perante a LGPD, o titular de dados é tratado como a parte mais frágil da relação. Ou seja, quem tem o dever de provar se a alegação feita pelo cidadão é procedente ou não, é a empresa. Por isso, as companhias precisam mostrar, de forma clara, a sua adequação e conformidade à Lei.

Sanções administrativas e multas da LGPD

Mesmo que ainda não estejam valendo — com exceção de processos oriundos de órgãos públicos —, é preciso estar atento para evitar as penalizações da Lei. As sanções administrativas estão previstas no Art. 52º da LGPD. As infrações estão sujeitas às seguintes punições:

I – advertência, com indicação de prazo para adoção de medidas corretivas;

II – multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício,

excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;

III – multa diária, observado o limite total a que se refere o inciso II;

IV – publicização da infração após devidamente apurada e confirmada a sua ocorrência;

V – bloqueio dos dados pessoais a que se refere a infração até a sua regularização;

VI – eliminação dos dados pessoais a que se refere a infração; suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;

XI – suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período;

XII – proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.

Os incisos VII, VIII, IX e X foram vetados.

As empresas que descumprirem a Lei terão de cumprir alguma das penalizações citadas anteriormente. As sanções só começam em agosto de 2021, mas é preciso estar atento.

O que não deve ser feito

Quando há algo novo, como a LGPD, leva-se tempo até a adaptação. No entanto, como a Lei já está em vigência, esses erros podem ser penalizados. Por isso, listamos abaixo o

que você NÃO deve fazer:

• Achar que a LGPD não se aplica a sua empresa, pois não tratam dados pessoais. Isso é um grande erro, pois toda e qualquer empresa faz o tratamento de dados pessoais;
• Não mudar a política de privacidade, pois já tinha uma antes. Também é algo equivocado, pois a Lei trouxe novas exigências e a política precisa ser adaptada para estar de acordo;
• Deixar de dedicar um profissional ao tratamento dos dados, principalmente os sensíveis. Essa tarefa demanda muita atenção e o ideal é que tenha um colaborador somente para cuidar dos dados pessoais que a sua empresa trata;
• Focar somente na parte técnica da lei. Não cabe somente ao time de TI adequar o site ou as plataformas que sua empresa utiliza. É preciso passar a todos os colaboradores, de forma didática, os impactos que a LGPD trouxe e os cuidados que a serem tomados;
• Acreditar que a adequação à Lei não é necessária, pelo fato de sua empresa investir em tecnologia moderna e segura. A tecnologia auxilia na segurança dos dados, mas só ela não é o suficiente. Sem um treinamento e orientações apropriadas, podem acabar havendo brechas perante à Lei.