Quanto aos parâmetros para a aplicação das sanções previstas pela LGPD?

Avaliar a aplicação de sanções prevista na LGPD ainda é algo voltado para a análise comparativa no âmbito LGPD x GDPR, tendo em vista que nossa autoridade regulamentadora, ANPD, ainda está em processo de formatação.

Como nossa lei possui forte inspiração da lei europeia é possível que as diretrizes acerca da aplicação das multas e outras sanções também busquem inspiração no cenário europeu. Até o momento são previstos apenas alguns pontos que deverão ser observados para a avaliação das punições, mas as metodologias e valor-base serão apresentadas em momento futuro pela ANPD, conforme exposto no art. 53, §1º da LGPD.

Sanções previstas na LGPD

Nossa lei prevê ao todo 6 tipos de sanções para infrações à lei, sendo elas:

1. Advertência;
2. Multa de até R$50.000.000,00 por infração;
3. Multa diária;
4. Divulgação da infração ao público;
5. Bloqueio dos dados pessoais relativos à infração;
6. Eliminação dos dados pessoais relativos à infração.

Apesar do alto valor da multa, entendemos que os danos financeiros oriundos de uma interrupção nas atividades em decorrência do bloqueio dos dados pessoais ou sua eliminação, e os fortes danos à imagem da empresa por conta de uma divulgação da infração podem apresentar um impacto mais significativo para a empresa.

Contudo, qualquer tipo de punição antes de ser aplicada deverá respeitar um procedimento administrativo que garanta a ampla defesa e observe o impacto da infração, quais medidas foram tomadas para evitar e combater o evento, o poder econômico do infrator, sua cooperação com a agência e vários outros elementos que servirão para a autoridade no momento de decidir se a empresa deve ou não ser punida

Critérios para aplicação de sanções da LGPD

Como havíamos falado, nossa agência ainda não disponibilizou nenhuma informação sobre como será o processo avaliativo, mas a LGPD já nos apresenta os principais elementos que a ANPD irá levar em consideração ao elaborar a metodologia de avaliação e aplicação de punições, sendo onze ao todo.

• O impacto do incidente e quais dados ele afeta;
• Se existe boa-fé por parte da empresa no tratamento dos dados;
• O que motivou a empresa a tratar os dados;
• O poder econômico da empresa;
• Se a empresa é ou não reincidente;
• Qual o dano gerado;
• Cooperação com a ANPD e com os usuários
• O desenvolvimento e aplicação de medidas tecnológicas e organizacionais que auxiliem na prevenção do dano;
• Políticas de boas práticas e governança;
• Adoção de medidas corretivas;
• A proporcionalidade entre a gravidade da falta e a intensidade da sanção.

Entendo que a ANPD irá exigir das empresas a comprovação que agiu através dos melhores meios tecnológicos existentes no mercado, não realizou nenhum tipo de tratamento não especificado ao titular e não agiu de forma abusiva.

Assim, é muito importante que as empresas para estarem seguras devem possuir mecanismos que possam comprovar, por histórico de registros, todas as ações tomadas dentro dos tratamentos de dados e criar processos que abarquem a segurança e proteção de dados pessoais

Exemplos de sanções aplicadas no GDPR

British Airways – multada em 183 milhões de libras em julho de 2019

A multa aplicada pela autoridade inglesa, ICO, ocorreu após a denúncia de que quinhentos mil usuários da companhia teriam sido vítimas de fraudes ao serem desviados do site da aérea para outro que estava realizando a coleta de dados pessoais como nome, endereço, dados bancários e outros.

A causa do elevado valor foi o altíssimo impacto causado aos usuários em decorrência dos fracos acordos firmados entre a companhia e serviços de segurança.

Esse evento demonstra a importância na revisão dos contratos de serviços e produtos de segurança, bem como os acordos de atendimento firmados e quais mecanismos de segurança são aplicados.

Marriott International – multada em 99 milhões de libras em julho de 2019

Após o vazamento de cerca de 339 milhões de registros de hospedes, a ICO aplicou a multa contra o grupo hoteleiro em decorrência de uma falha de segurança de um sistema de outro grupo de hotéis adquiridos pela empresa.

Assim, ao realizar a aquisição do grupo hoteleiro Starwood e não realizar a revisão dos sistemas de segurança e outras diligências necessárias para garantir a segurança dos usuários a Marriott sofreu a sanção de 99 milhões de libras.

Bounty – multado em 400 mil libras em abril de 2019

A multa em questão ocorreu devido à falta de informações claras aos usuários de como, quando e para quem os dados pessoais fornecidos seriam transferidos, o que demonstra como as leis de privacidade se importam com a transparência da relação empresa e titular de dados.

         A LGPD previu um rol variado de sanções administrativas, de natureza educativa, pecuniária e restritiva de atividades. Conforme o art. 52 da LGPD, a ANPD pode aplicar as seguintes sanções administrativas:

•         Advertência, com indicação de prazo para adoção de medidas corretivas;
•         Multa simples, de até 2% do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50 milhões por infração;
•         Multa diária, observado o limite total a que se refere o inciso II do artigo;
•         Publicização da infração após devidamente apurada e confirmada a sua ocorrência;
•         Bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
•         Eliminação dos dados pessoais a que se refere a infração;
•         Suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de seis meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador; e muitos mais.

         Com isso, até o momento, nenhum outro órgão público poderá aplicar as sanções previstas na LGPD, apenas a ANPD. Contudo, a aplicação das penalidades previstas nos artigos da Lei não substitui a aplicação de sanções civis ou penais, com embasamento no Código de Defesa do Consumidor e outros. Assim, a atuação ocasional de outros órgãos públicos, como agências reguladoras ou órgãos de defesa do consumidor, deve se dar segundo as suas próprias competências, ao abrigo de suas legislações específicas, com base na LGPD.

         Prevê-se que a atuação da ANPD se dê conforme uma abordagem responsiva, ou seja, de maneira gradual, baseada no comportamento do regulado e alicerçada em um plano de monitoramento do setor que permita a priorização de temas segundo seu risco, gravidade, atualidade e relevância.

         Ou seja, a LGPD determina que a ANPD deverá editar o próprio caderno de regras sobre sanções administrativas, que deverá ser objeto de consulta pública, contendo as metodologias que orientarão o cálculo do valor-base das sanções de multa. As metodologias para as sanções pecuniárias devem ser previamente publicadas e devem apresentar objetivamente as formas para o cálculo do valor-base da multa, que deverão conter fundamentação detalhada de todos os seus elementos, demonstrando os critérios previstos na Legislação.

         Logo, é de grande importância uma autoridade exclusiva responsável pelas fiscalizações e orientações gerais que ainda são necessárias, inclusive sobre a conscientização dos agentes de tratamento sobre a privacidade e proteção dos dados pessoais.

Por Vitória Ribeiro

REFERÊNCIA

https://www12.senado.leg.br/radio/1/noticia/2021/07/29/multas-da-lgpd-comecam-a-ser-aplicadas-em-1o-de-agosto

Quais são as sanções previstas na Lei LGPD?

Qual o meio de aplicação das sanções por violações ao tratamento de dados LGPD?

Quais as sanções a ANPD pode aplicar?

Quais as sanções previstas na LGPD são descritas no artigo 52o?