Resolução vai regulamentar aplicação de multas por descumprimento da LGPD

Dúvidas sobre quais são e quando serão aplicadas as multas pelo descumprimento da Lei Geral de Proteção de Dados Pessoais (LGPD) são bastante comuns. Embora a norma esteja em vigor há mais de dois anos, a Autoridade Nacional de Proteção de Dados (ANPD), recentemente transformada em autarquia especial e responsável pela fiscalização e interposição das sanções, ainda não efetivou esta atribuição.

Na prática, a possibilidade de aplicação das multas está em vigor desde de 31 de agosto de 2021. Efetivamente, no entanto, o cálculo de dosimetria das penalidades ainda não encerrou o seu processo administrativo regulatório. Em setembro deste ano, a ANPD colocou em consulta pública uma minuta com as definições propostas pela entidade. O texto recebeu cerca de 2,5 mil sugestões que passam por avaliação no momento para possibilitar a publicação da resolução final.

A expectativa é que o documento seja publicado ainda este ano e, por isso, é importante conhecer quais sanções podem ser aplicadas. Então, confira a lista abaixo:

• Advertência, com indicação de prazo para adoção de medidas corretivas;
• Multa simples, de até 2% do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil, no seu último exercício, excluídos os tributos e limitada, no total, a R$ 50.000.000,00, por infração;
• Multa diária, observado o limite total anterior;
• Publicização da infração, após devidamente apurada e confirmada a sua ocorrência;
• Bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
• Eliminação dos dados pessoais a que se refere a infração;
• Suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador; 
• Suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 meses, prorrogável por igual período;
• Proibição parcial ou total do exercício de atividades relacionadas ao tratamento de dados.

“A multa de até 50 milhões, por infração é, sem dúvidas, a penalidade que mais chama a atenção e preocupa as cooperativas. No entanto, considero que as penalidades mais pesadas não são de caráter pecuniário, mas, sim, aquelas que proíbem parcial ou totalmente uma organização de realizar atividades envolvendo o tratamento dos dados pessoais. Organizações que não podem tratar dados pessoais têm suas atividades completamente inviabilizadas, já que não poderão contratar nem sequer um funcionário, por exemplo”

Cristhian Groff, Encarregado pelo tratamento de dados pessoais do Sistema OCB.

Ainda segundo ele, “as cooperativas devem lembrar que não é apenas o vazamento de dados pessoais que se caracteriza como infração à LGPD. Inúmeras outras situações podem gerar a aplicação de penalidades”. E cita alguns exemplos:

• Ausência de elaboração e atualização de Registro das Operações de Tratamento de Dados Pessoais;
• Ausência de elaboração de atualização de Relatórios de Impacto à Proteção de Dados Pessoais;
• Ausência de nomeação de DPO, exceto para agentes de tratamento de pequeno porte;
• Ausência de canal de atendimento de direitos dos titulares;
• Atendimento irregular de direitos dos titulares;
• Coleta de dados pessoais de forma excessiva e incompatível com a finalidade;
• Manutenção de dados pessoais por mais tempo que o necessário;
• Ausência de cláusulas contratuais obrigando operadores ao cumprimento da LGPD;
• Não informar explicitamente as pessoas sobre as atividades que serão realizadas com seus dados pessoais;
• Justificar as atividades que envolvem dados pessoais com as bases legais inadequadas – confira nosso conteúdo sobre bases legais clicando aqui;
• Medidas de segurança insuficientes para garantia da confidencialidade, integridade e disponibilidade;
• Não realizar treinamentos periódicos de colaboradores; e
• Ausência de políticas de privacidade e proteção de dados pessoais.

Para lembrar:

Recomenda-se às cooperativas que tratem as ações de adequação à LGPD como prioridade, executando planos de ações para estruturação da governança e conformidade, mas também para correção das lacunas nos processos que envolvem o tratamento de dados pessoais. Embora a ANPD ainda não tenha aplicado sanções, no Judiciário já são diversos os processos fundamentados na LGPD, muitos deles gerando condenações para as empresas ou cooperativas demandadas.

Gostou do tema? Nos acompanhe, em breve publicaremos conteúdo abordando exemplos de situações que geram a aplicação de penalidades na União Europeia e que possivelmente também irão gerar por aqui.