O que acontece se minha empresa não se adequar à LGPD?

Lgpd - RGM Tecnologia da Informação

Essa pergunta foi (e ainda é) parte da realidade de muitos empresários brasileiros. Existem várias dúvidas sobre a LGPD, apesar de haver muito conteúdo e abundância de informações sobre o tema, tanto por parte de fontes oficiais, quanto de fontes não oficiais.

Vários especialistas estão falando do assunto sob suas respectivas óticas. Portanto, se sua empresa ainda não se adequou à LGPD, é hora de começar a prestar atenção em tudo isso. Felizmente, a RGM reuniu várias informações a respeito do assunto aqui em nosso blog.

O conteúdo abaixo traz tudo que você precisa fazer e aborda o que já falamos em vários dos nossos posts aqui no blog. Aproveite a leitura e tire todas suas dúvidas, tópico a tópico.

Quem pode punir através da LGPD? 

A instituição responsável pela verificação do comprimento da Lei geral de proteção de Dados será feita pela Autoridade Nacional de Proteção de Dados, a ANPD. Vale lembrar, que a ANPD é um órgão ligado ao Governo Federal. 

Quem pode ser punido? 

Muitas dúvidas surgiram, principalmente, com a possível punição da ANPD já a partir de agosto de 2021. Uma delas é: Quem pode ser punido pela ANPD com a nova Lei Geral de Proteção de Dados? 

As sanções e punições são cabíveis tanto para pessoas jurídicas, como para pessoas físicas. Serão punidos todas aquelas pessoas ou empresas que não cumprirem as regras prescritas na LGPD. 

Quais as sanções que sua empresa pode sofrer?

As sanções poderão variar entre a advertência, a multa simples ou diária e, ainda, a suspensão e a proibição do tratamento de dados pelos infratores, de acordo com os incisos I a XII, do artigo 52 e somente serão aplicadas após procedimento administrativo que possibilite a oportunidade da ampla defesa, de forma gradativa, isolada ou cumulativa, de acordo com as peculiaridades do caso concreto e considerados os parâmetros e critérios definidos na lei.

O que é tratamento de dados?

É a utilização, em qualquer forma, de dados fornecidos por terceiros. A coleta, o armazenamento, o compartilhamento e a manutenção das informações são enquadradas como tratamento e, caso a empresa seja autuada, pode ser proibida de fazer isso.

A gravidade e a natureza das infrações e dos direitos pessoais afetados,  a boa-fé do infrator, a vantagem auferida ou pretendida pelo infrator, sua condição econômica, reincidência e grau do dano, por exemplo, serão levadas em conta quando da aplicação da penalidade.

No caso da advertência, será sempre acompanhada da indicação de um prazo para adoção de medidas corretivas. A multa simples, por sua vez, pode ser de até 4% do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, e limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração e a multa diária  observará o limite total a que se refere a multa simples.

Outras podem ser as consequências da aplicação de uma sanção por infração administrativa, como a publicização da infração, o bloqueio dos dados pessoais a que se refere a infração até a sua regularização, a eliminação dos dados pessoais, a  suspensão temporária e parcial do funcionamento do banco de dados, a  suspensão do exercício da atividade de tratamento dos dados por tempo determinado e, por fim, a proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.

Nesse passo, é importante identificar os sujeitos envolvidos com o tratamento de dados para que seja possível analisar as condutas individualmente caso haja a suspeita de uma infração. Vejamos:

De acordo com a lei, temos quatro sujeitos diferentes que são diretamente vinculados aos dados pessoais:

  • Titular: pessoa física que forneceu os dados a determinada empresa (é o titular dos direitos);
  • Controlador: pessoa física ou jurídica, de direito público ou privado, que detém o poder de decidir sobre como os dados pessoais serão tratados e para quais finalidades eles serão direcionados no processo interno da empresa;
  • Operador: pessoa física ou jurídica, de direito público ou privado, que realiza o tratamento de dados de acordo com as orientações dadas pelo controlador;
  • Encarregado: pessoa física indicada pelo controlador e pelo operador para atuar como elo entre o titular dos dados e a ANPD.

Então, havendo indícios de atos administrativos que ofendam a LGPD, é preciso, inicialmente, que se identifiquem os sujeitos envolvidos naquela infração, diferenciando o agente interno do – quando houver – agente externo. O agente interno é aquele que possui acesso aos dados por serem controladores, operadores ou encarregados. O agente externo, por sua vez, será aquele estranho à relação de tratamento de dados – como, por exemplo, um hacker.

A LGPD, perceba, abrange somente a atuação dos sujeitos internos: a atuação dos agentes externos será tipificada tendo-se em vista o Código Penal Brasileiro e eventuais leis específicas.

A propósito, o disposto na LGPD acerca das sanções não substitui a aplicação de sanções administrativas, civis ou penais definidas na Lei nº 8.078, de 11 de setembro de 1990, e em legislação específica, o que quer dizer que a LGPD prevê condutas sancionatórias apenas em âmbito administrativo, que podem se adequar também a tipos penais  determinados por outras leis.

O operador e o controlador de dados podem, portanto, por exemplo, serem indiciados como autores do crime de falsa identidade ou falsa identidade para realização de operação de câmbio. Os servidores públicos, também para oferecer um outro exemplo, podem ser responsabilizados por modificação ou alteração não autorizada de sistema de informações. Todas as sanções previstas na lei geral de proteção de dados podem ser aplicadas às entidades e aos órgãos públicos, sem prejuízo do disposto na Lei nº 8.112, de 11 de dezembro de 1990, na Lei nº 8.429, de 2 de junho de 1992, e na Lei nº 12.527, de 18 de novembro de 2011.

Ao calcular o valor da multa simples, a autoridade nacional poderá considerar o faturamento total da empresa ou grupo de empresas; isso quando não dispuser do valor do faturamento no ramo de atividade empresarial em que ocorreu a infração, definido pela autoridade nacional, ou quando o valor for apresentado de forma incompleta ou não for demonstrado de forma inequívoca e idônea.

O produto da arrecadação das multas aplicadas pela ANPD, inscritas ou não em dívida ativa, será destinado ao Fundo de Defesa de Direitos Difusos de que tratam o art. 13 da Lei nº 7.347, de 24 de julho de 1985, e a Lei nº 9.008, de 21 de março de 1995.

Interessante que a suspensão parcial ou total do funcionamento do banco de dados a que se refere a infração e a proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados só serão aplicadas se já houver sido imposta ao menos uma das penalidades de que tratam os incisos II, III, IV, V e VI do caput do artigo 52 da LGPD para o mesmo caso concreto.

Ou seja: multa, multa diária, publicização da infração, bloqueio dos dados pessoais a que se refere a infração até a sua regularização e a eliminação dos dados pessoais – claramente também a que se refere a infração.

E, em caso de controladores submetidos a outros órgãos e entidades com competências sancionatórias, ouvidos esses órgãos.

Os agentes de tratamento, de toda sorte, devem sempre adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.

Caso existam vazamentos individuais ou acessos não autorizados, podem ser objeto de conciliação direta entre controlador e titular. Não havendo acordo, o controlador estará sujeito à aplicação das penalidades de que trata o artigo 52 da LGPD.

O que é levado em conta na hora de aplicar a pena? 

Todas as informações serão levadas em conta na hora de averiguar as infrações sobre a LGPD. Tanto a gravidade, como a natureza das infrações serão avaliadas. Mais ainda, as pessoas envolvidas, se houve má-fé, o que se era pretendido pelo infrator, a condição econômica em questão, a graduação do envolvido, entre outras questões, serão levadas em conta na hora de julgar as sanções.  

A conduta individual é julgada? 

Sim! A conduta individual do caso de infração sobre a LGPD será levada em conta. Os sujeitos envolvidos serão identificados e suas condutas serão averiguadas, tanto individualmente, como de maneira coletiva. 

Se houver necessidade, será dada uma pena maior ou menor para o infrator em questão. Vale lembrar, que existem 4 sujeitos envolvidos nos tratos de dados pessoais:

  • Titular – Quem forneceu os dados em formulários de compra ou Lead. A pessoa mais afetada no processo.
  • Controlador – Pessoa física ou jurídica que por determinado motivo financeiro deseja captar os dados pessoais de terceiros.
  • Operadora – Quem segue as ordens do controlador para pegar os dados. Quem executa a tarefa requerida. 
  • Encarregado – Pessoa física que faz o elo entre operadora e controladora. Um gestor do operador. A pessoa que faz com que tudo caminhe bem e dê o retorno esperado.

Dessa maneira, a ANPD averigua todos os envolvidos e seus reais interesses na captura e no trato de dados pessoais de terceiros. 

Quer ajuda para adequar sua empresa à LGPD?

Veja o que separamos sobre LGPD para você