A partir de agosto, ANPD poderá aplicar sanções que vão desde advertências até multas.
A Lei Geral de Proteção de Dados (LGPD – Lei nº 13.709/2018) foi sancionada em 2018, mas seus dispositivos entraram em vigor em três momentos distintos. O dispositivo relativo à Autoridade Nacional de Proteção de Dados (ANPD) passou a valer em dezembro de 2018, e os demais artigos, com exceção das sanções administrativas, em setembro de 2020.
As sanções administrativas, contudo, tiveram sua aplicação adiada para que as organizações pudessem se preparar e entrar em conformidade em tempo hábil. No próximo dia 1º de agosto, entretanto, a vigência da LGPD estará completa, na medida em que as sanções administrativas nela previstas passarão a valer também.
Portanto, a partir de agosto de 2021 a ANPD poderá aplicar sanções administrativas que vão desde simples advertências até multas no valor de até 2% do faturamento da empresa ou grupo, limitadas a R$ 50milhões por infração. A LGPD traz, ainda, sanções como a publicização da infração, bloqueio e até eliminação dos dados pessoais relacionados à infração, que podem ser tão ou mais penosas às organizações do que as próprias multas.
Ponto importante a ser observado é que não há na legislação a definição do que seria “por infração”, de modo que a simples violação à norma poderá acarretar a aplicação das sanções administrativas, ou seja, independentemente da existência de vazamento de dados pessoais.
A lei brasileira tem como inspiração o Regulamento Geral sobre a Proteção de Dados (GDPR), a norma europeia, e foi sancionada em agosto de 2018. A LGPD é uma norma federal e tem abrangência geral, o que significa que é aplicada a todas as organizações públicas ou privadas que usarem tratamento de dados pessoais em suas atividades. Tratamento de dados pessoais realizados por particulares com finalidades domésticas ficaram de fora da tutela da lei.
Dessa forma, todas as instituições que usarem dados pessoais em suas atividades devem buscar implementar procedimentos internos que garantam a proteção dos dados pessoais e o respeito à LGPD o quanto antes. Um dos primeiros cuidados a serem observados é a atribuição de responsabilidades e competências dentro da instituição ou até mesmo de forma terceirizada, para o desenvolvimento de atividades necessárias e previstas na LGPD para a conformidade de cada uma destas organizações.
A LGPD traz, por exemplo, a obrigatoriedade dos controladores e operadores fazerem um registro das atividades de tratamento de dados da organização. A atividade, além de prevista na lei, é essencial para a organização ter a real noção de quais dados são tratados, para qual finalidade, com que base legal e os riscos envolvidos no uso desses dados pessoais.
Outro ponto importante a ser observado, ainda dentro da atribuição de reponsabilidades, é a nomeação de um Encarregado ou Data Protection Officer (DPO). O DPO pode ser uma pessoa física ou jurídica que funcionará como canal de informação entre os titulares de dados e a Autoridade Nacional de Proteção de Dados.
A LGPD permite que essa função seja desenvolvida por alguém nomeado dentro da própria organização ou um prestador de serviços externo. Nessa busca pela conformidade à LGPD, o DPO tem papel essencial na garantia de que a legislação de proteção de dados seja implementada. A simples ausência de indicação clara do Encarregado ou DPO poderá ser considerada violação à LGPD e acarretar, por consequência, a eventual aplicação de sanções administrativas.
Necessário destacar, no mais, que a ANPD possui canal de denúncias em seu website que possibilitará que clientes, concorrentes, empregados e até sindicatos ou associações denunciem as empresas que não estiverem em conformidade com a LGPD.
Sendo assim, é importante que as organizações busquem a sua conformidade o quanto antes, não só para não sofrerem as pesadas sanções previstas na LGPD, mas principalmente para estarem adequadas e em consonância com os direitos fundamentais da privacidade e da proteção de dados.
Fonte Jota: ANA MARIA RONCAGLIA / ROSANA PILON MUKNICKA