A LGPD (Lei nº 13.709, de 14 de agosto de 2018) entrou em vigor em 18 de setembro de 2020, porém as penalidades passam a valer a partir 1º de agosto de 2021, conforme Lei nº 14.010, de 10/06/2020. Destaca-se que a vigência da Lei foi anterior à vigência da aplicação das sanções, até para que as empresas se adequassem à nova Lei.
Os artigos 52, 53 e 54 da referida Lei tratam acerca das sanções para quem infringir a norma, sendo aplicadas somente após um procedimento administrativo, proporcionada a ampla defesa.
As sanções podem gerar prejuízos, não somente financeiros, mas também à reputação e à própria atividade. Veja quais são as penalidades trazidas pela Lei:
- Advertência;
- Multa simples de até 2% do faturamento da empresa ou grupo econômico, limitada a R$ 50.000.000,00 por infração;
- Multa diária, de até 2% do faturamento da empresa ou grupo econômico, limitada a R$ 50.000.000,00 por infração;
- Publicização da infração;
- Bloqueio dos dados pessoais a que se refere a infração até que seja regularizada;
- Eliminação dos dados pessoais a que se refere a infração;
- Suspensão parcial do uso do banco de dados a que se refere a infração pelo período máximo de 6 meses, prorrogáveis por mais 6 meses, até que seja regularizada;
- Suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período de até 6 meses prorrogáveis por mais 6 meses;
- Proibição parcial ou total do exercício de atividade de tratamento de dados.
Destaca-se que, na aplicação da sanção, será levado em consideração se a empresa adota política de boas práticas e governança de proteção de dados e medidas corretivas, bem como mecanismos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados pessoais (art. 52, § 1º, VIII, IX, X, LGPD).
A adequação envolve, dentre outros, o alinhamento do DPO (Data Protection Officer) com a referida norma, além do trabalho em conjunto com as áreas de tecnologia da informação, financeira, jurídica e administrativa. O trabalho árduo se dará para identificar, separar e classificar os dados, tanto físicos, quanto digitais, sendo a próxima etapa a de gerenciamento e tratamento dessas informações.
A nova norma demanda uma relação de maior transparência com o titular dos dados, na qual o consentimento dos usuários aos Termos de Uso e Políticas de Privacidade devem estar em estrita consonância com aspectos práticos, os quais, por sua vez, devem estar implementados corretamente, sob pena de se tornarem ineficazes seus termos, deixando desprotegida a empresa em eventual fiscalização.
Há que se atentar ainda para outras aplicações práticas: na área trabalhista, por exemplo, o empregador detém informações pessoais de seus empregados e precisa observar os bons costumes da nova Lei para evitar responsabilidade civil ou ressarcimento em danos causados. ⠀
A recomendação é de que se obtenha autorização dos empregados para o tratamento dos dados já coletados, especificando finalidade, forma e tratamento destes. Ainda, há previsão de exclusão dos dados quando o propósito de sua coleta já estiver cumprido.
Serviços de terceirização também vão exigir um consentimento específico dos empregados, por escrito, para que a empresa faça o correto tratamento de seus dados quando forem transmitir para terceiros. Será preciso especificar quais dados e qual a finalidade do compartilhamento destes na terceirização.
Dessa forma, conclui-se ser essencial que as empresas estejam adequadas à Lei Geral de Proteção de Dados, uma vez que a partir de 01/08/2021, as sanções já poderão ser aplicadas pela Autoridade Nacional de Proteção de Dados (ANPD).
Larissa Paschoalli, Equipe Direito Empresarial da Saito Associados
