Isso significa que a Autoridade Nacional de Proteção de Dados (ANPD) pode determinar punição para as empresas que não estejam em conformidade com a lei ou envolvidas em qualquer incidente de vazamento de dados pessoais.
Vale lembrar quais são essas sanções administrativas, detalhadas na Seção I (Das Sanções Administrativas) do Capítulo VIII, sobre a Fiscalização. A ANPD tem o poder de decidir a gravidade da punição que será aplicada, e segundo o artigo 52, pode variar entre as seguintes:
I - advertência, com indicação de prazo para adoção de medidas corretivas;A variedade e impacto das sanções é bem variável. Pode ser desde uma simples advertência até mesmo a proibição da prestação de serviços que utiliza dados pessoais. Além disso, quando houver multa, esta pode chegar até 2% do faturamento líquido anual da empresa, com limite de R$ 50 milhões.
II - multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
III - multa diária, observado o limite total a que se refere o inciso II;
IV - publicização da infração após devidamente apurada e confirmada a sua ocorrência;
V - bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
VI - eliminação dos dados pessoais a que se refere a infração;
VII - suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;
VIII - suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período;
IX - proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
A decisão sobre a severidade das sanções deverá considerar as peculiaridades do caso e consider diversos critérios (art. 53):
I - a gravidade e a natureza das infrações e dos direitos pessoais afetados;
II - a boa-fé do infrator;
III - a vantagem auferida ou pretendida pelo infrator;
IV - a condição econômica do infrator;
V - a reincidência;
VI - o grau do dano;
VII - a cooperação do infrator;
VIII - a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados, em consonância com o disposto no inciso II do § 2º do art. 48 desta Lei;
IX - a adoção de política de boas práticas e governança;
X - a pronta adoção de medidas corretivas; e
XI - a proporcionalidade entre a gravidade da falta e a intensidade da sanção.
Caso a ANPD decida impor uma multa diária, ela deverá estabelecer o valor considerando a gravidade da falta e a extensão do dano ou prejuízo causado (art. 54).
Mesmo antes das sanções da LGPD entrarem em vigor, já vimos diversas punições a empresas brasileiras fruto do uso indevido ou exposição de dados pessoais, em ações específicas realizadas pelo ministério público ou pelas vítimas. Como as sanções da ANPD não substituem a aplicação de punições com base no Código de Defesa do Consumidor, é possível que a partir de agora, as empresas que falharem na proteção de dados pessoais e seu tratamento, possam sofrer diversas penalizações simultâneas, somando-se a punição determinada pela ANPD.
Ah, não custa lembrar: as sanções administrativas previstas na LGPD são aplicáveis a fatos ocorridos após 1º de agosto de 2021, e não antes disso - exceto quando se tratar de um delito de natureza continuada iniciados antes de tal data.
Para saber mais:
- Material publicado pela ANPD: Sanções Administrativas: o que muda após 1º de agosto de 2021?
- LGPD: a partir de domingo (1º), multas milionárias e sanções começam a ser aplicadas
- Cinco Destaques sobre as Sanções Administrativas da LGPD
PS: Post atualizado em 10/08.
Nenhum comentário:
Postar um comentário