No dia 1º de agosto de 2021, entraram em vigor os dispositivos da LGPD que tratavam da aplicação de sanções pelo descumprimento das normas previstas na lei, referentes ao tratamento de dados pessoais por controladores e operadores.
Embora a LGPD já esteja vigorando desde setembro de 2020, os artigos 52, 53 e 54, que tratam especificamente das sanções pelo descumprimento de obrigação prevista na LGPD, ainda estavam em vacatio legis até então. As sanções previstas e que agora são aplicáveis podem ser de:
(i) advertência, com indicação de prazo para adoção de medidas corretivas;
(ii) publicização da infração;
(iii) bloqueio do acesso aos dados pessoais a que se refere a infração até a sua regularização;
(iv) eliminação definitiva dos dados pessoais a que se refere a infração;
(v) multa de até 2% (dois por cento) do faturamento da pessoa jurídica no seu último exercício, limitada a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
(vi) multa diária, observado o limite total de R$ 50.000.000,00 (cinquenta milhões de reais);
(vii) suspensão parcial do funcionamento do banco de dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período;
(viii) suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período;
(ix) proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
As sanções serão balizadas pelos indicadores previstos na LGPD, como o grau do dano, a cooperação e a vantagem auferida pelo infrator, sua reincidência e a existência de políticas de governança e boas práticas sobre o tratamento de dados pessoais. Ademais, destacamos que as sanções dos itens “vii”, “viii” e “ix” serão aplicadas somente após a aplicação de uma das outras sanções para o mesmo caso concreto.
Serão observadas também a gravidade e a extensão do dano causado, no momento da definição do valor da multa diária, o que deve ser fundamentado pela Autoridade Nacional de Proteção de Dados – ANPD, órgão responsável por, dentre outras funções, fiscalizar e aplicar as sanções administrativas da LGPD. Ademais, segundo a LGPD, a ANPD tem competência subsidiária para prever normas e regulamentos sobre proteção de dados, como metodologias para o cálculo do valor-base para as sanções pecuniárias.
Nossa equipe está à disposição para maiores esclarecimentos adicionais, bem como para assessorar com os procedimentos para cumprimento das obrigações regulatórias da LGPD perante a ANPD.
Gustavo Flausino Coelho – gustavo@bastilhocoelho.com.br
Fernando Naegele – fernando@bastilhocoelho.com.br