230 segundos
As sanções e penalidades administrativas previstas na Lei Geral de Proteção de Dados Pessoais (“LGPD”) entraram em vigor em 1º de agosto de 2021 e abrangem desde a advertência às organizações e a efetiva eliminação dos dados que estão em tratamento, até a aplicação de multa de 2% do faturamento da empresa, limitada ao valor de R$ 50 milhões.
Conforme dispõe o caput do artigo 52 da LGPD, as sanções administrativas previstas pela LGPD são passíveis de aplicação somente pela Autoridade Nacional de Proteção de Dados Pessoais, ou ANPD. Além disso, a Lei estabelece que as competências da ANPD prevalecerão, no que se refere à proteção de dados pessoais, sobre as competências correlatas de outras entidades ou órgãos da administração pública.
Vale lembrar, entretanto, que, nos termos da Lei, a aplicação das sanções previstas na LGPD não substitui a aplicação de sanções administrativas, civis ou penais definidas na Lei nº 8.078, de 11 de setembro de 1990 (Código de Defesa do Consumidor) e em legislação específica. Assim, eventual atuação de outros órgãos públicos, como agências reguladoras ou órgãos de defesa do consumidor, deve se dar segundo as suas próprias competências, ao abrigo de suas legislações específicas.
Com isso, a ANPD, poderá aplicar as seguintes penalidades em procedimento administrativo:
O infrator está sujeito a advertência pelo ato de infração ou descumprimento relacionado à LGPD. Constará na advertência prazo para adoção de medidas corretivas pelo agente.
Também poderá ser aplicada ao infrator: (i) multa simples de até 2% do faturamento da empresa ou grupo econômico, limitada à R$ 50.000.000,00 (cinquenta milhões de reais) por infração; e (ii) multa diária, observado o limite total de R$ 50.000.000,00 (cinquenta milhões de reais).
A LGPD também prevê a penalidade de publicização da infração. Nestes casos, a entidade infratora será exposta ao público, através dos meios de comunicação, após devidamente apurada e confirmada a ocorrência de descumprimento à LGPD.
Outra penalidade prevista é o bloqueio dos dados pessoais a que se refere a infração. Os dados pessoais ligados à infração serão bloqueados, assim, a entidade infratora não terá acesso aos dados por tempo determinado, até a sua regularização de acordo com a lei.
A ANPD poderá determinar a eliminação dos dados pessoais a que se refere a infração ou a proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados pelo infrator.
Poderá também haver a suspensão parcial do funcionamento do banco de dados ou da atividade de tratamento a que se refere a infração, até a regularização da atividade de tratamento pelo controlador.
Vale lembrar que as organizações também poderão ser penalizadas judicialmente, independentemente das sanções administrativas, por exemplo, caso o uso indevido de dados pessoais gere danos ou prejuízos aos titulares de dados.
Neste ponto, é importante ressaltar que antes da entrada em vigor da LGPD algumas empresas foram penalizadas judicialmente pelo uso ilícito de dados pessoais, com fundamento em outras legislações aplicáveis, tais como o Código Civil Brasileiro, Código de Defesa do Consumidor, Marco Civil da Internet e a própria Constituição Federal.
As sanções administrativas serão aplicadas após procedimento administrativo e, para sua aplicação, deverão ser observadas as peculiaridades do caso e considerados alguns parâmetros e critérios, tais como:
(i) a gravidade e a natureza das infrações e dos direitos pessoais afetados;
(ii) a boa-fé e condição econômica do infrator;
(iii) a reincidência;
(iv) a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados; a adoção de política de boas práticas e governança; dentre outros.
Haverá exclusão de responsabilidade, ou seja, o agente de tratamento não será penalizado, se provar que:
(i) não realizou o tratamento de dados pessoais que lhe é atribuído;
(ii) muito embora tenha realizado o tratamento de dados pessoais, não houve violação à legislação;
(iii) o dano é decorrente de culpa exclusiva do titular dos dados ou de terceiros.
Portanto, é essencial que as organizações tenham atenção e trabalhem a adequação à lei levando em conta o próprio modelo de negócio.
A equipe do Molina Advogados está à disposição para prestar maiores esclarecimentos.
