A Lei Geral de Proteção de Dados Pessoais (LGPD), sancionada como Lei nº 13.709/2018, reformulou a abordagem sobre a privacidade e a proteção de dados pessoais no Brasil e transformou a maneira como as empresas operam, pois tem exigido um compromisso rigoroso com a transparência, a segurança e a conformidade legal.
Embora a aplicação prática da LGPD pudesse parecer incerta, devido ao seu pouco tempo de existência, já é evidente o cenário de sua implementação, e a Autoridade Nacional de Proteção de Dados (ANPD), o órgão responsável pela fiscalização e aplicação de penalidades previstas na LGPD, tem sido um pilar fundamental nessa transição da teoria para a prática.
Implementação da LGPD no Brasil
No ano de início da vigência plena da Lei (2021), foram editadas algumas resoluções pela ANPD, o que viabilizou o processo administrativo sancionatório e, por consequência, a efetiva aplicação das regras previstas na LGPD.
Dentre essas resoluções, podemos citar a Resolução CD/ANPD Nº 4/2023, que aprovou o Regulamento de Dosimetria e Aplicação de Sanções Administrativas, e a Resolução CD/ANPD Nº 1/2021, que aprovou o Regulamento do Processo de Fiscalização e do Processo Administrativo Sancionador no âmbito da Autoridade Nacional de Proteção de Dados, demonstrando que as autoridades estão extremamente atentas às possíveis violações envolvendo proteção de dados e, diante disso, as empresas e organizações estão ainda mais sujeitas à aplicação de eventuais penalidades advindas da inobservância da LGPD.
Penalidades previstas na LGPD
As consequências dos esforços contínuos em regulamentação pela ANDP culminaram na aplicação, em julho de 2023, de sua primeira punição em um processo administrativo sancionador a uma operadora de telecomunicações, que recebeu uma multa por uso impróprio de dados pessoais em campanhas políticas eleitorais.
Esse caso destacou não apenas as consequências financeiras do descumprimento da LGPD, que podem chegar a 2% do faturamento da empresa infratora, limitadas a R$ 50 milhões por infração, mas também o impacto reputacional associado.
Sob o aspecto financeiro, as multas podem ser aplicadas à pessoa natural ou pessoa jurídica de direito público ou privado em várias situações de não conformidade.
Tipos de penalidades:
- Tratamento de dados sem base legal: Coleta e processamento de dados fora das hipóteses previstas na Lei;
- Falta de transparência: Não fornecer informações claras e acessíveis aos titulares sobre o tratamento de seus dados.
- Descumprimento dos direitos dos titulares: Negligenciar solicitações de acesso, correção, exclusão, entre outros direitos assegurados aos titulares de dados.
- Violação de segurança: Falhas na implementação de medidas de segurança para proteger os dados pessoais contra acessos não autorizados, vazamentos, perda ou alteração.
O valor das multas pode variar significativamente, dependendo da gravidade da infração e de outros fatores atenuantes ou agravantes. As penalidades financeiras previstas incluem:
- Multa Simples: Até 2% do faturamento da empresa, grupo ou conglomerado no Brasil no seu último exercício, limitada a R$ 50 milhões por infração.
- Multa Diária: Aplicável nos casos de infrações contínuas, com valor também limitado a R$ 50 milhões.
Impacto prestacional:
Além do impacto financeiro às empresas, sob o aspecto reputacional, aqueles que descumprem as normas previstas da LGPD estão sujeitos, ainda, à imposição de outras penalidades, como:
- Advertência;
- Publicização da infração;
- Bloqueio ou eliminação dos dados pessoais relacionados à infração;
- Suspensão parcial do funcionamento do banco de dados a que se refere a infração e suspensão ou proibição parcial ou total das atividades de tratamento de dados.
O risco jurídico envolvido é alto e, além das sanções no âmbito administrativo, as empresas e demais agentes que infringirem a LGPD não estão isentos da responsabilidade pelo ressarcimento dos eventuais danos causados pela violação à proteção de dados, pois conforme expressamente previsto na Lei, “o controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo”.
Embora a ANPD não divulgue todos os detalhes específicos, relatórios indicam um número crescente de denúncias e reclamações, demonstrando um aumento da consciência pública e empresarial sobre os direitos de proteção de dados.
A agência recebeu centenas de denúncias desde a entrada em vigor da Lei, sendo 908 comunicados de incidente de segurança e 3.337 requerimentos distribuídos entre denúncias e petições de titulares até abril de 2024, resultando na análise e emissão de sanção pela ANPD em 2 (dois) processos administrativos sancionadores face a agentes públicos e privados, restando, atualmente, outros 7 (sete) processos a serem analisados, ilustrando a aplicabilidade prática da LGPD.
No Judiciário o número de processos envolvendo a LGPD quase triplicou desde a entrada em vigor da Lei, segundo levantamento do “Painel LGPD nos Tribunais”, realizado pelo Instituto Brasileiro de Ensino, Desenvolvimento e Pesquisa (IDP) e pelo Jusbrasil.
Boas práticas para conformidade com a LGPD
Para evitar multas e outras penalidades, as empresas e organizações devem adotar uma abordagem proativa em relação à conformidade com a LGPD. Algumas boas práticas incluem:
1. Mapeamento de dados: Realizar um mapeamento completo dos dados pessoais tratados pela organização, identificando as bases legais para cada operação.
2. Políticas de privacidade: Desenvolver e implementar políticas de privacidade claras e acessíveis, garantindo que os titulares estejam informados sobre como seus dados são tratados.
3. Treinamento e capacitação: Treinar funcionários e colaboradores sobre as disposições da LGPD e a importância da proteção de dados pessoais.
4. Medidas de segurança: Implementar medidas técnicas e administrativas para proteger os dados pessoais contra acessos não autorizados, vazamentos e outras ameaças.
5. Auditorias e monitoramento: Realizar auditorias periódicas e monitoramento contínuo das práticas de tratamento de dados para identificar e corrigir possíveis falhas.
A demonstração da aplicação prática da LGPD serve como um lembrete da importância da proteção de dados pessoais no ambiente digital contemporâneo. Empresas e organizações devem encarar a conformidade com a LGPD não apenas como uma obrigação legal, mas como uma prática essencial para a construção de confiança e credibilidade junto aos seus clientes e parceiros, bem como para evitar implicações legais, financeiras e reputacionais.
Adotando medidas preventivas e corretivas adequadas, é possível minimizar riscos e evitar penalidades severas, contribuindo para um ambiente digital mais seguro e respeitoso.
Fala com um de nossos especialistas e evite penalidades!
Por Natália Caetano
Especialista em Direito Civil Empresarial
[1] Fonte: https://www.gov.br/anpd/pt-br/composicao-1/coordenacao-geral-de-fiscalizacao e https://www.gov.br/anpd/pt-br/composicao-1/coordenacao-geral-de-fiscalizacao/processos-administrativos-sancionadores
[2] Disponível em https://painel.jusbrasil.com.br/2023#:~:text=O%20Painel%20da%20LGPD%20nos,e%20prote%C3%A7%C3%A3o%20de%20dados%20pessoais.