Bruno Aghazarm, consultor das áreas de segurança de dados e LGPD do Henneberg, Ferreira e Linard Advogados. Pós-graduado e especialista em Direito Digital. Graduado em Engenharia Eletrônica e Direito.
Leandro Aghazarm, sócio do Henneberg, Ferreira e Linard Advogados. Especialista na área cível e empresarial, especialmente nas áreas de contratos, processo civil e compliance.
Desde o último dia 01 de agosto (2021), encontram-se em vigor o poder fiscalizatório e a sujeição das empresas às sanções administrativas pelos respectivos Órgãos Fiscalizadores, com relação a infrações cometidas às normas previstas na LGPD (Lei Geral de Proteção de Dados Pessoais – nº 13.709/18).
Desse modo, já é possível e está legalmente autorizado à Autoridade Nacional de Proteção de Dados (ANPD), aplicar as sanções previstas nos artigos 52 e seguintes da referida lei, aos agentes de tratamento de dados (controlador e operador) em razão de violação ou não conformidade à LGPD.
Nesse passo, é certo que as empresas que não tratarem os dados pessoais sob sua custódia de maneira adequada, protegida e controlada, nos ditames da LGPD, podem se deparar não apenas com pedidos de indenizações na Justiça, como já vem ocorrendo em muitos Estados brasileiros, mas igualmente com contundentes sanções administrativas.
As sanções previstas pela lei são (art. 52): advertência, com indicação de prazo para adoção de medidas corretivas; multa simples, de até 2% do faturamento da empresa, grupo ou conglomerado no Brasil no seu último exercício, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração; multa diária, observado o limite total a que se refere a hipótese anterior; publicização da infração após devidamente apurada e confirmada a sua ocorrência; bloqueio dos dados pessoais a que se refere a infração até a sua regularização; eliminação dos dados pessoais a que se refere a infração; suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador; suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 meses, prorrogável por igual período; e a proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
Será levado em consideração para aplicação das sanções a gravidade e a natureza das infrações e dos direitos pessoais afetados, a boa-fé do infrator demonstrado através de provas materiais de prevenção de proteção de dados e segurança da informação, a vantagem auferida ou pretendida pelo infrator, sua condição econômica, reincidência e grau do dano,a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados, a adoção de política de boas práticas e governança, a pronta adoção de medidas corretivas; ea proporcionalidade entre a gravidade da falta e a intensidade da sanção.
Como se vê, as empresas necessitam verificar não apenas as bases legais para o tratamento de dados pessoais, que envolvem igualmente gerenciar o “consentimento”, mas também se atentarem ao nível de segurança corporativa e cibernética adequadas, para assegurar sua integridade lógica e consequente proteção de dados, assim como as políticas e planos que envolvam a governança e boas práticas, voltados à adesão da LGPD.
Vale ressaltar que a LGPD abrange somente a atuação dos agentes internos, pois a atuação dos agentes externos será tipificada sob a ótica do Código Penal Brasileiro e eventuais leis específicas, de modo que as sanções administrativas da LGPD não substituem a aplicação de sanções administrativas de proteção ao consumidor, civis ou penais definidas.
Portanto e, a partir de agora, os agentes de controle, operação e tratamento de todas as empresas devem sempre adotar medidas técnicas e administrativas de segurança, que envolvem segurança da informação, lógicas, físicas, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.
Todas essas medidas citadas possuem tempos respectivos para sua devida criação, adaptação, implementação e maturação, segundo as boas práticas de mercado e sua própria previsão orçamentária nas empresas, mas, obrigatoriamente, deverão formalizar imediatamente o início de cada projeto para justificar o início do compliance à respectiva Lei, sob pena, a partir do dia 01º de agosto, das sanções administrativas.