No dia 27/02/2023 foi publicada pela Autoridade Nacional de Proteção de Dados (ANPD) a Resolução n. 4, que estabelece os critérios para aplicação de punições por descumprimento à Lei Geral de Proteção de Dados (LGPD).
Assim, é essencial que as startups estejam adequadas à legislação, cientes das exigências e preparadas para essa nova fase punitiva que já se iniciou.
1. Quando a startup poderá ser punida pela ANPD?
A startup poderá ser punida quando cometer uma infração. É considerado infração qualquer descumprimento de obrigação estabelecida na Lei Geral de Proteção de Dados e nos regulamentos da Autoridade Nacional de Proteção de Dados.
Com isso, é importante que a startup esteja atenta não só a LGPD, mas também às regulações administrativas e atualizações constantes do órgão.
2. Quais penalidades poderão ser aplicadas pela ANPD?
Como já explicamos em artigo anterior, as sanções que podem ser aplicadas pela Autoridade Nacional de Proteção de Dados às empresas são:
Advertência: usada quando a infração for leve ou média, quando não for uma infração já cometida anteriormente ou quando houver necessidade de medidas corretivas.
Multa simples de até 2% (dois por cento) do faturamento da empresa, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada a R$50.000.000,00 (cinquenta milhões de reais) por infração: aplicada caso a empresa não tenha cumprido medidas preventivas ou corretivas impostas anteriormente, quando a infração for classificada como grave, quando a natureza da infração assim exigir ou quando não for adequado aplicar outra sanção.
Atenção! Para a definição do valor da multa simples para startups, a ANPD poderá considerar o limite de faturamento previsto no Marco Legal das Startups.
Multa diária de até R$50.000.000,00 (cinquenta milhões de reais) por infração: estabelecida quando necessário para cumprimento de uma determinação da ANPD, quando a empresa for notificada sobre uma infração e não a resolver em prazo hábil, quando a empresa impedir a atividade de fiscalização da ANPD ou praticar a mesma infração de forma prolongada.
Publicização da infração: a divulgação da infração pela própria empresa infratora será definida quando for de interesse público, depois de apurada e confirmada.
Bloqueio dos dados pessoais: aplicada quando for necessária a suspensão temporária de qualquer operação de tratamento com os dados pessoais a que se refere a infração, até a regularização da conduta pela empresa.
Eliminação dos dados pessoais: usada quando for necessária a exclusão de dados armazenados em banco de dados a que se refere a infração.
Suspensão parcial do funcionamento do banco de dados: será aplicada pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da infração, considerando a classificação e complexidade da infração, o interesse público, o impacto aos direitos dos titulares de dados pessoais.
Suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração: será aplicada pelo período máximo de 6 (seis) meses, prorrogável por igual período, considerando o interesse público, o impacto aos direitos dos titulares de dados pessoais e a classificação da infração.
Proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados: poderá ser aplicada nos casos em que houver reincidência em infração punida com suspensão parcial do funcionamento do banco de dados ou suspensão do exercício da atividade de tratamento dos dados pessoais; quando forem tratados dados pessoais com fins ilícitos ou sem base legal; ou quando a empresa perder ou não atender as condições técnicas e operacionais para manter o adequado tratamento de dados pessoais.
3. O que será considerado como infração leve, média ou grave?
A ANPD descreveu de forma detalhada a classificação das infrações, de acordo com a gravidade e dos direitos de titulares que foram afetados. De forma geral, será:
Leve: Infração que não se enquadrar como média ou como grave.
Média: Infração que não se enquadrar como grave e puder afetar significativamente interesses e direitos fundamentais dos titulares de dados. São os casos de atividades que possam impedir ou limitar o exercício de direitos de titulares ou utilização de um serviço ou que possam ocasionar danos materiais ou morais aos titulares, tais como: discriminação, violação à integridade física, direito à imagem e à reputação, fraudes financeiras ou uso indevido de identidade.
Grave: Quando constituir obstrução à atividade de fiscalização da ANPD ou quando for verificada uma infração média e cumulativamente:
- Envolver tratamento de dados pessoais em larga escala;
- A empresa auferir ou pretender auferir vantagem econômica em decorrência da infração;
- A infração implicar risco à vida dos titulares;
- A infração envolver tratamento de dados sensíveis ou de dados pessoais de crianças, de adolescentes ou de idosos;
- A empresa realizar tratamento de dados pessoais sem base legal;
- A empresa realizar tratamento com efeitos discriminatórios ilícitos ou abusivos; ou
- A empresa adotar práticas irregulares de forma sistemática.
4. Como será feito o cálculo e o pagamento de multas pelas startups?
Os cálculos das multas estão descritos de forma detalhada no Apêndice I ao Regulamento de Dosimetria e Aplicação de Sanções Administrativas publicado pela ANPD.
De todo modo, o valor considerará também as agravantes e atenuantes, demonstrando que as empresas adequadas à LGPD serão recompensadas com penalidades menores.
Quanto aos pagamentos, as multas deverão ser quitadas no prazo de até 20 (vinte) dias úteis, contados a partir da ciência oficial da decisão da ANPD.
Atenção! As startups e agentes de tratamento de pequeno porte terão o benefício do prazo em dobro para o pagamento das multas, ou seja, terão 40 (quarenta) dias úteis.
Ainda, as empresas terão direito a entrarem com recurso administrativo e, caso seja aceito, o valor da multa paga será restituído com correção monetária. De toda forma, a startup terá que dispor dos valores em um primeiro momento, o que reforça a necessidade de respeitar a Lei e as disposições da Autoridade Nacional Proteção de Dados a fim de evitar a perda, ainda que temporária, de qualquer valor.
5. Os parceiros da startup podem ser prejudicados por essas penalidades?
Sim, nos casos em que a startup for condenada ao bloqueio ou eliminação de dados pessoais, é necessário comunicar imediatamente às empresas com quem a startup tenha compartilhado esses dados, para que repitam o mesmo procedimento, ou seja, também bloqueiem ou eliminem as informações. Isso reforça a necessidade de as empresas terem contratos com cláusulas de proteção de dados claras e com prazos bem definidos.
Caso os parceiros participem da infração, as penalidades serão aplicadas de forma individualizada. De toda forma, fica claro que as sanções podem ser um fator prejudicial também para as relações comerciais da startup e devem ser evitadas.
6. Como sua startup pode evitar penalidades?
As startups precisam adotar algumas medidas preventivas, como:
- Possuir Políticas de Boas Práticas e Programa de Governança em Privacidade, com normas e processos internos que assegurem o cumprimento da LGPD e regulamentos da ANPD;
- Ter cláusulas de privacidade e proteção de dados em todos os seus contratos;
- Adotar as medidas técnicas, administrativas e jurídicas sugeridas no Guia de Segurança da Informação para Agentes de Tratamento de Pequeno Porte publicado pela ANPD;
- Realizar o mapeamento de dados pessoais e elaborar o ROPA;
- Se relacionar apenas com parceiros e empresas comprovadamente adequados à Lei;
- Conscientizar e treinar toda a sua equipe.
Além disso, é necessário atuar de forma diligente, rápida e eficaz caso ocorra qualquer tipo de incidente de segurança ou descumprimento da Lei, a fim de impedir ou diminuir prejuízos.
Por fim, é essencial que as startups contem com um jurídico especializado, que as atualizem sobre as regras impostas pela ANPD, apoiem na adequação à LGPD e, no caso de penalidades, auxiliem as empresas em sua defesa, no cumprimento dos prazos e medidas corretivas.
Por Natália Martins Nunes