Multas da LGPD: saiba como evitá-las

Fique ligado! As regras para as multas da LGPD já começaram a valer

Você sabia que as regras para aplicação das multas da LGPD já começaram a valer desde agosto de 2021 e que o primeiro ciclo de monitoramento da ANPD terá início a partir de janeiro de 2022? Então fique ligado!

Cada vez mais clientes, usuários de sistemas, colaboradores e os cidadãos, de um modo em geral, precisam ser devidamente informados sobre como seus dados pessoais estão sendo utilizados e protegidos, após serem coletados por empresas e órgãos públicos. Não é por outro motivo, aliás, que a LGPD prevê que as empresas que tratem dados pessoais adotem medidas de segurança para evitar a violação ou uso indevido de informações.

Sob essa ótica, é importante destacar que a LGPD, por ser uma legislação consumerista, prevê deveres aos controladores e operadores de dados pessoais e direitos aos titulares de dados pessoais, cabendo às empresas se adequarem a ela.

É imprescindível, portanto, que as organizações estejam em compliance com a LGPD e se preparem não só para compreenderem o novo regramento, mas para que possam atuar de forma preventiva e proativa no caso de eventuais incidentes de segurança da informação, demonstrando boa-fé e a adoção de mecanismos e procedimentos internos capazes de minimizar eventuais danos, voltados ao tratamento seguro e adequado de dados.

Quem pode fiscalizar e aplicar as multas da LGPD?

Inicialmente, é importante esclarecer que, nos termos do art. 55-K da LGPD, a aplicação das sanções e multas da LGPD compete exclusivamente à ANPD. Essa previsão, contudo, não exclui ou impede a articulação e a sua atuação com outros órgãos e entidades com competências sancionatórias e normativas afetas ao tema de proteção de dados pessoais.

Nesse contexto, a Lei Geral de Proteção de Dados Pessoais prevê a possibilidade de fiscalização por não-observância ou desrespeito a seus princípios e obrigações, por diversos órgãos, tais como como os Procons Municipais e Estaduais, a Senacon, as Agências Regulatórias setoriais, além, claro, da própria Autoridade Nacional de Proteção de Dados.

Neste ano, inclusive, a ANPD já firmou Acordos de Cooperação Técnica com a Secretaria Nacional do Consumidor (SENACON/MJSP), o Conselho Administrativo de Defesa Econômica – CADE e o Núcleo de Informação e Coordenação do Ponto BR – NIC.br, tendo lançado, ainda, em parceria com a SENACOM o guia intitulado “Como Proteger seus Dados Pessoais”, com o objetivo de nortear os consumidores sobre como agir em caso de eventual violação de dados pessoais.

Sob essa ótica, é possível destacar diversas situações em que tanto a ANPD, quanto outros órgãos e entidades com competências sancionatórias deram início, com muito mais intensidade, à fiscalização do cumprimento à LGPD como, por exemplo no caso de vazamento de dados pessoais por meio do Sistema de Pagamentos Instantâneos (Pix) ou na utilização indevida de dados pessoais por Redes de Drogarias.

Cabe lembrar, ainda, de que a ANPD poderá solicitar, a qualquer momento, informações específicas sobre o âmbito e a natureza dos dados pessoais tratados pelas organizações, visando garantir que as empresas estejam, efetivamente, em conformidade com os requisitos e princípios estabelecidos pela LGPD.

Por fim, e não menos importante, nos casos de incidentes de segurança que possam acarretar risco ou dano relevante aos titulares, a ANPD poderá, também, verificar a sua gravidade, determinando ao controlador a adoção de providências, tais como ampla divulgação do fato em meios de comunicação e medidas para reverter ou mitigar os efeitos do incidente.

Saiba como funciona, na prática, o processo de fiscalização e aplicação das multas da LGPD

Como visto, a ANPD (Autoridade Nacional de Proteção de Dados) é o órgão responsável não apenas por zelar pelo cumprimento das obrigações previstas na LGPD, como, também, pela fiscalização e aplicação das multas e sanções, cabendo a ela, ainda, definir, por meio de regulamento próprio, as metodologias que orientarão o cálculo do valor-base das sanções de multa.

E foi, justamente, com base nessa previsão legal, que o Conselho Diretor da ANPD deliberou sobre a aprovação do Regulamento do Processo de Fiscalização e do Processo Administrativo Sancionador, tendo editado a  Resolução CD/ANPD nº 1, de 28 de outubro de 2021.

Dentre alguns pontos do referido ato normativo, destacamos que a fiscalização compreende as atividades de monitoramento, orientação e atuação preventiva, tendo como finalidade a de orientar, prevenir e reprimir as infrações à LGPD.

Além disso, caberá aos agentes de tratamento de dados pessoais:

É importante destacar, ainda, que o artigo 37 do Regulamento prevê que o processo administrativo sancionador poderá ser instaurado, sem possibilidade de recurso, de ofício; em decorrência de processo de monitoramento; ou diante de requerimento em que a Coordenação-Geral de Fiscalização deliberar pela abertura imediata de processo sancionador, evidenciando-se, assim, um cuidado ainda maior por parte das empresas para evitar as multas da LGPD.

Mas, afinal, quais são as multas da LGPD?

De acordo com o art. 52 da LGPD, as seguintes multas poderão ser aplicadas às empresas, em caso de violação ou cometimento de infrações:

• Advertência;
• Multa simples, de até 2% do faturamento no seu último exercício, limitada a R$ 50 milhões de reais por infração;
• Multa diária, observado o limite total a que se refere o item anterior;
• Publicização da infração;
• Bloqueio dos dados pessoais;
• Eliminação dos dados pessoais;
• Suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses;
• Suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses;
• Proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.

Além disso, as sanções serão aplicadas de forma gradativa, isolada ou cumulativa, de acordo com as peculiaridades do caso concreto e considerados os seguintes parâmetros e critérios:

• Gravidade e a natureza das infrações e dos direitos pessoais afetados;
• Boa-fé do infrator;
• Vantagem auferida ou pretendida pelo infrator;
• Condição econômica do infrator;
• Reincidência;
• Grau do dano;
• Cooperação do infrator;
• Adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados;
• Adoção de política de boas práticas e governança;
• Pronta adoção de medidas corretivas; e
• Proporcionalidade entre a gravidade da falta e a intensidade da sanção.

É importante lembrar ainda de que essas penalidades não substituem a aplicação de sanções administrativas, civis ou penais definidas no Código de Defesa do Consumidor ou em outras legislações específicas sobre o tema, tais como a Lei que instituiu o Marco Civil da Internet no Brasil.

Como se percebe, independentemente do tipo de infração cometida, quaisquer uma delas poderá repercutir na imagem e na reputação da empresa podendo resultar em perda da credibilidade e, consequentemente, consumidores, fornecedores, vendas e mercado.

Em que situações as multas da LGPD podem ser aplicadas?

A LGDP estabelece requisitos para a coleta, o armazenamento, o compartilhamento e a exclusão de dados pessoais, que devem ser seguidos por todas as empresas, independente do porte ou segmento de atuação no mercado. Não é por outro motivo, aliás, que estabeleceu 10 princípios para o tratamento adequado de dados pessoais.

Por essa razão, as empresas que tratem dados pessoais devem estar atentas para não incorrer em sanções e multas da LGPD, especialmente, em razão do uso indevido ou ilícito dos dados pessoais de consumidores, clientes, funcionários e cidadãos.

A preocupação, portanto, mais imediata das empresas deve estar centrada na implementação de controles e no cumprimento de requisitos legais relacionados à proteção de dados pessoais e à segurança da informação.

Cuidados com a Proteção de Dados Pessoais

Para se evitar sanções e multas da LGPD em relação à proteção de dados pessoais, as empresas devem estar atentas a todos os processos que envolvem o tratamento dados pessoais, dando-se especial destaque aos dados pessoais sensíveis (dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural).

Nesse sentido, recomendamos que as empresas realizem o mapeamento dos principais fluxos de tratamento de dados pessoais, por meio da indicação dos dados que são coletados, das suas fontes de coleta, da finalidade e, principalmente, da base legal que autoriza o seu tratamento.

Note-se, inclusive, que segundo o site especializado GDPR Enforcement Tracker a utilização inadequada da base legal para tratamento dos dados pessoais é uma das três principais causas de aplicação de multa na União Europeia.

Além disso, é importante que as empresas identifiquem as não-conformidades e os riscos a ela relacionados a privacidade, especialmente, por meio da utilização da utilização de controles estabelecidos em melhores práticas, como, por exemplo, na ISO 27701.

Cuidados com a Segurança da Informação

A Segurança da Informação é um eixo muito importante para evitar multas da LGPD. Como já tivemos a oportunidade de escrever há 7 passos prioritários para a adequação da sua empresa em relação à Segurança da Informação. São eles:

Do mesmo modo, é preciso ter cuidados não apenas com os dados pessoais que se encontrem em meios digitais, como, também, com os que se encontram em meio físico, tais como em documentos impressos. É que a ocorrência de incidentes de segurança da informação, muitas vezes se dá de dentro para fora da organização e não, necessariamente, por meio de um ataque de cibercriminosos.

Em síntese, é preciso seguir, no mínimo, essas 5 soluções para segurança da informação e proteção de dados:

Programa de Governança em Privacidade: a melhor maneira de se evitar as sanções e multas da LGPD

A implementação de um bom Programa de Governança em Privacidade, certamente, é o melhor caminho para se prevenir sanções e multas da LGPD. E para, tanto, há 3 passos essenciais para implementar e colocar em prática a LGPD na sua empresa.

Primeiro Passo: entender o contexto da organização

Antes de mais nada, é preciso entender o contexto da organização, conhecer as principais partes interessadas, formar o time de privacidade e sensibilizar os colaboradores.

É que sem engajar a todos, a LGPD torna-se apenas mais uma ferramenta burocrática dentro da organização. E lembre-se: não há um modelo único, por isso é necessário ter visão acerca das principais obrigações de compliance que a empresa, mandatoriamente ou voluntariamente, precisa cumprir.

Nessa fase, por exemplo, você pode definir quais serão as pessoas diretamente envolvidas com o projeto, levantar as principais preocupações da organização em relação ao tema e promover palestras de sensibilização na sua empresa.

Não se esqueça, também, de ter bem clara a definição de papéis e responsabilidades, especialmente, em relação ao exercício da função de encarregado pelo tratamento de dados pessoais.

Segundo Passo: realizar a avaliação de riscos de compliance

Este passo vai exigir de você um pouco mais de tempo, esforço e conhecimento técnico, em razão da necessidade de se buscar as principais fontes de riscos ligados à proteção de dados pessoais e segurança da informação dentro da sua empresa.

A avaliação de riscos de compliance envolve as etapas de identificação, análise, avaliação, tratamento e comunicação dos riscos, por meio da análise de documentos e realização de entrevistas pessoais com os pontos focais da organização.

É nessa fase também que você deve fazer o mapeamento do ciclo de vida dos dados pessoais da sua organização, com o objetivo de entender como ocorre a coleta, o processamento e o arquivamento de dados pessoais dentro da sua empresa.

Como se percebe, este é um passo fundamental para o sucesso do compliance dentro da sua empresa.

Terceiro Passo: implementação dos planos de ação

O terceiro passo corresponde à implementação dos planos de ação levantados na etapa anterior. É chegada a hora de “botar a mão na massa”, para dar início à elaboração da Política de Privacidade, da Política de Segurança da Informação e à adequação dos processos e procedimentos relacionados.

Por fim, e não menos importante, você deve realizar treinamentos e capacitações a todas as partes interessadas, com o objetivo de engajar cada vez mais as pessoas responsáveis pelo dia-a-dia da sua empresa.

Conclusão: evite as multas da LGPD

Compreender os requisitos e exigências da LGPD, juntamente com o conhecimento dos fluxos de tratamento de dados de seu negócio, é uma das formas mais eficazes de evitar multas e sanções.

Nesse sentido, é essencial conhecer quais dados pessoais são coletados, os propósitos da coleta, a necessidade daqueles dados, quais dados são compartilhados com parceiros de negócio, fornecedores ou outras partes, e onde e por quanto tempo estes dados permanecerão armazenados.

Mapear os fluxos de tratamento de dados pessoais, inseridos nos diversos os setores da organização, exige uma intensa imersão em rotinas, processos de negócio, sistemas, formulários e documentos tanto em meio eletrônico, quanto em meio físico.

Recomenda-se, ainda, muita cautela ao se utilizar os dados pessoais para outras finalidades, além daquelas originalmente informadas ao titular de dados. É que quando uma empresa utiliza os dados pessoais para outros motivos ou objetivos, ou compartilha dados com terceiros, pode ser necessário informar ou até mesmo buscar o consentimento do titular de dados.

Tenha muito cuidado, também, com o uso indiscriminado de dados pessoais – principalmente, a compra e venda de bases de dados ou mailing list, uma vez que essas práticas se tornaram proibidas, com o advento da LGPD.

Por fim, é importante lembrar de que os consumidores e os cidadãos, de um modo em geral, estão se tornando cada vez mais conscientes de seus direitos, especialmente, os relacionados à proteção de dados pessoais, cabendo às empresas terem uma compreensão mais aprofundada a respeito da amplitude e profundidade de tais prerrogativas constitucionais.

Em síntese: é fundamental a adequação das empresas à LGPD não apenas visando evitar a aplicação das penalidades legais, mas também à promoção de uma verdadeira mudança na cultura organizacional, considerando todas as áreas da empresa e ramos de atividades.