Confira um Check list que ajudará você a “vender” o projeto de adequação à LGPD!!

Alexandro Rudolfo de Souza Guirão

A Lei Geral de Proteção de Dados (LGPD – nº 13.709 de 14/08/2018) já vigora e, agora, as sanções estão valendo!

É, aqui no Brasil a gente já se acostumou com a frase: “Essa lei PEGOU! Ou não pegou…”

Mas o que faz esse sentimento valer mesmo é a capacidade de EXIGIBILIDADE de uma norma. No caso da LGPD essa força fica por conta das CONSEQUÊNCIAS que poderão resultar de não estar aderente à LGPD.

A LGPD trouxe a obrigação de que os agentes de tratamento de dados (qualquer pessoa física ou jurídica que faça tratamento de dados pessoais com finalidade econômica) devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito (art. 46).

Veja que a aderência não depende, portanto, de softwares da NASA ou de ISRAEL pra garantir a segurança da informação em ambientes digitais ou virtuais. É necessário também a adoção de medidas ADMINSITRATIVAS, ou seja, de gestão de processos, de garantias de atendimento de demandas dos titulares de dados e conscientização de colaboradores mediante treinamentos e capacitação (as tais medidas de governança do art. 50).

E isso visa evitar o enforcement, ou seja, a aplicação de SANÇÕES ou as CONSEQUÊNCIAS da inadequação.

Desde 01 de agosto de 2021, em tese, já é possível a aplicação das sanções pela ANPD, as quais ainda dependem de um regulamento que será editado pela Autoridade. São Elas:

  • advertência, com indicação de prazo para adoção de medidas corretivas;
  • multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
  • multa diária;
  • publicidade da infração após devidamente apurada e confirmada a sua ocorrência, o que equivale a EXPOSIÇÃO MIDIÁTICA da empresa;
  • bloqueio dos dados pessoais e do Banco de Dados a que se refere a infração até a sua regularização;
  • eliminação dos dados pessoais a que se refere a infração;
  • suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;
  • suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período;
  • proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.

Vale lembrar que ainda é possível que o próprio titular dos dados vazados ou violados busque a responsabilização do agente de tratamento de dados que deixou de adotar as medidas de segurança e lhe causar prejuízos de ordem material e moral.

E que outros órgãos, além da própria ANPD, poderão atuar na fiscalização e aplicação de sanções, a exemplo dos órgãos de defesa do consumidor e até mesmo as Agências Reguladores, no caso de Serviços Regulados (nos termos do § 2º do art. 52).