Como já mencionamos em artigos anteriores, a Lei Geral de Proteção de Dados (LGPD) entrou em vigor em setembro de 2020, mas a possibilidade de aplicação de penalidades administrativas pela Autoridade Nacional de Proteção de Dados (ANPD) será a partir de agosto de 2021.
Com isso, é importante que as startups saibam quais sanções poderão sofrer daqui para frente nos casos de tratamentos indevidos envolvendo dados pessoais.
1) Penalidades administrativas
Caso os agentes de tratamento de dados, controlador ou operador, descumpram a LGPD, ficarão sujeitos às seguintes sanções administrativas, que serão aplicáveis pela Autoridade Nacional de Proteção de Dados:
• advertência, com indicação de prazo para adoção de medidas corretivas;
• multa simples, de até 2% (dois por cento) do faturamento da empresa, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
• multa diária, observado o limite total de R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
• publicização da infração após devidamente apurada e confirmada a sua ocorrência;
• bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
• eliminação dos dados pessoais a que se refere a infração;
• suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;
• suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período;
• proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
2) A startup poderá se defender das penalidades?
Sim. As sanções serão aplicadas após procedimento administrativo que possibilitará que a startup apresente a sua defesa, considerados os seguintes pontos:
• a gravidade e a natureza das infrações e dos direitos pessoais afetados;
• a boa-fé do infrator;
• a vantagem auferida ou pretendida pelo infrator;
• a condição econômica do infrator;
• a reincidência;
• o grau do dano;
• a cooperação do infrator;
• a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados;
• a adoção de política de boas práticas e governança;
• a pronta adoção de medidas corretivas;
• a proporcionalidade entre a gravidade da falta e a intensidade da sanção.
Além disso, a suspensão parcial do funcionamento do banco de dados, suspensão do exercício da atividade de tratamento dos dados pessoais e proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados serão aplicadas somente após já ter sido imposta ao menos 1 (uma) das seguintes sanções: multas, publicização, bloqueio ou eliminação dos dados pessoais.
3) A startup corre algum outro risco além dessas penalidades?
Sim. As sanções administrativas não substituem outras penalidades, como de natureza civil, penal ou de outros órgãos administrativos.
Dessa forma, ser penalizada pela ANPD não impede que a startup seja processada e condenada na justiça ou que responda a outros órgãos.
4) Quem fica com o valor pago em caso de multas?
A LGPD define que o produto da arrecadação das multas será destinado ao Fundo de Defesa de Direitos Difusos.
Entretanto, isso não impede que titulares que se sintam pessoalmente prejudicados por eventual tratamento indevido pela startup solicitem compensações, como indenizações.
5) O que fazer para evitar essas penas?
As startups devem buscar implementar medidas jurídicas, técnicas e administrativas para proteger os dados pessoais, afinal a própria LGPD deixa claro que as ações da empresa serão determinantes para diminuir ou até isentar penas.
Algumas dicas práticas são:
• realizar o mapeamento dos dados pessoais tratados pela startup;
• verificar se todas as operações de dados pessoais estão enquadradas em 1 (uma) das bases legais da LGPD;
• elaborar documentos que expliquem sobre o tratamento de dados pessoais e definam responsabilidades;
• analisar se o compartilhamento de dados está sendo feito de forma correta e informada;
• confirmar se as ferramentas técnicas estão seguras.
6) Conclusão
Vale lembrar que a ANPD definirá, por meio de regulamento próprio, mais detalhes sobre sanções administrativas da LGPD, como os critérios para cálculo do valor-base das multas.
Ainda, a Autoridade Nacional de Proteção de Dados já está realizando consultas públicas e publicará previamente as metodologias que utilizará.
De toda forma, o ideal é que as startups se preparem e adequem seus negócios à LGPD o quanto antes para evitar qualquer tipo de prejuízo ou condenação.
Por Natália Martins Nunes