Quando o assunto é LGPD muitas são as dúvidas, mas compreender se as sanções da LGPD serão aplicadas por inadequação ou por incidente de segurança (vazamento de dados) é, com certeza, uma das dúvidas mais comuns.
Inicialmente, podemos partir da disposição contida no Art. 3º da LGPD: “Esta Lei aplica-se a qualquer operação de tratamento realizada por pessoa natural ou por pessoa jurídica de direito público ou privado, independentemente do meio, do país de sua sede ou do país onde estejam localizados os dados, desde que:
I – a operação de tratamento seja realizada no território nacional;
II – a atividade de tratamento tenha por objetivo a oferta ou o fornecimento de bens ou serviços ou o tratamento de dados de indivíduos localizados no território nacional; ou
III – os dados pessoais objeto do tratamento tenham sido coletados no território nacional”.
Assim, da simples leitura deste primeiro dispositivo, já podemos concluir que qualquer pessoa natural ou pessoa jurídica de direito público ou privado que realize operações envolvendo o tratamento de dados pessoais de acordo com as disposições acima, deverá se adequar à LGPD.
Contudo, a lei dispõe de forma ainda mais clara e objetiva em seu artigo 44 acerca da obrigatoriedade da adequação por todas as empresas que realizam operações que envolvam o tratamento de dados pessoais em meios físicos e digitais.
De acordo com o dispositivo, “o tratamento de dados pessoais será irregular quando deixar de observar a legislação ou quando não fornecer a segurança que o titular dele pode esperar, consideradas as circunstâncias relevantes, entre as quais:
I – o modo pelo qual é realizado;
II – o resultado e os riscos que razoavelmente dele se esperam;
III – as técnicas de tratamento de dados pessoais disponíveis à época em que foi realizado.
Assim, compreende-se que a inobservância às disposições da LGPD, notadamente, o não atendimento às regras nela contidas, fará com que o tratamento de dados pessoais não seja regular, sujeitando a empresa às sanções previstas na Lei Geral de Proteção de Dados.
O artigo da 46 da LGPD fomenta esse entendimento quando dispõe: “Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito”.
E, por fim, o reforço do artigo 50 da LGPD ao mencionar que: “Os controladores e operadores, no âmbito de suas competências, pelo tratamento de dados pessoais, individualmente ou por meio de associações, poderão formular regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais.
§ 1º Ao estabelecer regras de boas práticas, o controlador e o operador levarão em consideração, em relação ao tratamento e aos dados, a natureza, o escopo, a finalidade e a probabilidade e a gravidade dos riscos e dos benefícios decorrentes de tratamento de dados do titular.
§ 2º Na aplicação dos princípios indicados nos incisos VII e VIII do caput do art. 6º desta Lei, o controlador, observados a estrutura, a escala e o volume de suas operações, bem como a sensibilidade dos dados tratados e a probabilidade e a gravidade dos danos para os titulares dos dados, poderá:
I – implementar programa de governança em privacidade que, no mínimo:
a) demonstre o comprometimento do controlador em adotar processos e políticas internas que assegurem o cumprimento, de forma abrangente, de normas e boas práticas relativas à proteção de dados pessoais;
b) seja aplicável a todo o conjunto de dados pessoais que estejam sob seu controle, independentemente do modo como se realizou sua coleta;
c) seja adaptado à estrutura, à escala e ao volume de suas operações, bem como à sensibilidade dos dados tratados;
d) estabeleça políticas e salvaguardas adequadas com base em processo de avaliação sistemática de impactos e riscos à privacidade;
e) tenha o objetivo de estabelecer relação de confiança com o titular, por meio de atuação transparente e que assegure mecanismos de participação do titular;
f) esteja integrado a sua estrutura geral de governança e estabeleça e aplique mecanismos de supervisão internos e externos;
g) conte com planos de resposta a incidentes e remediação; e
h) seja atualizado constantemente com base em informações obtidas a partir de monitoramento contínuo e avaliações periódicas;
II – demonstrar a efetividade de seu programa de governança em privacidade quando apropriado e, em especial, a pedido da autoridade nacional ou de outra entidade responsável por promover o cumprimento de boas práticas ou códigos de conduta, os quais, de forma independente, promovam o cumprimento desta Lei.
§ 3º As regras de boas práticas e de governança deverão ser publicadas e atualizadas periodicamente e poderão ser reconhecidas e divulgadas pela autoridade nacional.
Desse modo, não há dúvidas de que a aplicação das sanções previstas no art. 52 da LGPD poderão ser aplicadas nas empresas que não estiverem em conformidade com a lei.
Os dispositivos acima nos fazem concluir que, diferentemente do que muitos pensam, as sanções administrativas da LGPD não serão aplicadas somente em casos de ocorrência de um eventual incidente de segurança (vazamento de dados), mas também, pela inadequação à lei pelas empresas.
Quer saber quais são as sanções administrativas da LGPD, cuja previsão é do art. 52 da LGPD?
Art. 52. Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas nesta Lei, ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional:
I – advertência, com indicação de prazo para adoção de medidas corretivas;
II – multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
III – multa diária, observado o limite total a que se refere o inciso II;
IV – publicização da infração após devidamente apurada e confirmada a sua ocorrência;
V – bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
VI – eliminação dos dados pessoais a que se refere a infração;
X – suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;
XI – suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período;
XII – proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
Contudo, as penalidades da LGPD acima referidas serão aplicadas somente após procedimento administrativo que possibilite a oportunidade da ampla defesa, de forma gradativa, isolada ou cumulativa, de acordo com as peculiaridades do caso concreto.
Além disso, a vigência das sanções da LGPD ocorrerá somente em Agosto/2021, contudo, mas é preciso um olhar atento à adequação à LGPD, uma vez que, diante da vigência da LGPD, há outros órgãos ativamente atuantes nas questões relacionadas à Proteção de Dados e Privacidade, como Procons e Senacon, por exemplo.
A adequação à lei é o melhor caminho para qualquer empresa, que além de consolidar a sua marca como uma empresa responsável com privacidade e proteção de dados, ainda cria um diferencial competitivo em relação às demais.
Espero ter te ajudado a compreender.
Um abraço.
Jerusa Bohrer
