Confira um Check list que ajudará você a “vender” o projeto de adequação à LGPD!!
Alexandro Rudolfo de Souza Guirão
A Lei Geral de Proteção de Dados (LGPD – nº 13.709 de 14/08/2018) já vigora e, agora, as sanções estão valendo!
É, aqui no Brasil a gente já se acostumou com a frase: “Essa lei PEGOU! Ou não pegou…”
Mas o que faz esse sentimento valer mesmo é a capacidade de EXIGIBILIDADE de uma norma. No caso da LGPD essa força fica por conta das CONSEQUÊNCIAS que poderão resultar de não estar aderente à LGPD.
A LGPD trouxe a obrigação de que os agentes de tratamento de dados (qualquer pessoa física ou jurídica que faça tratamento de dados pessoais com finalidade econômica) devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito (art. 46).
Veja que a aderência não depende, portanto, de softwares da NASA ou de ISRAEL pra garantir a segurança da informação em ambientes digitais ou virtuais. É necessário também a adoção de medidas ADMINSITRATIVAS, ou seja, de gestão de processos, de garantias de atendimento de demandas dos titulares de dados e conscientização de colaboradores mediante treinamentos e capacitação (as tais medidas de governança do art. 50).
E isso visa evitar o enforcement, ou seja, a aplicação de SANÇÕES ou as CONSEQUÊNCIAS da inadequação.
Desde 01 de agosto de 2021, em tese, já é possível a aplicação das sanções pela ANPD, as quais ainda dependem de um regulamento que será editado pela Autoridade. São Elas:
- advertência, com indicação de prazo para adoção de medidas corretivas;
- multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
- multa diária;
- publicidade da infração após devidamente apurada e confirmada a sua ocorrência, o que equivale a EXPOSIÇÃO MIDIÁTICA da empresa;
- bloqueio dos dados pessoais e do Banco de Dados a que se refere a infração até a sua regularização;
- eliminação dos dados pessoais a que se refere a infração;
- suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;
- suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período;
- proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
Vale lembrar que ainda é possível que o próprio titular dos dados vazados ou violados busque a responsabilização do agente de tratamento de dados que deixou de adotar as medidas de segurança e lhe causar prejuízos de ordem material e moral.
E que outros órgãos, além da própria ANPD, poderão atuar na fiscalização e aplicação de sanções, a exemplo dos órgãos de defesa do consumidor e até mesmo as Agências Reguladores, no caso de Serviços Regulados (nos termos do § 2º do art. 52).