Buscar
  • Ferraresi Cavalcante

LGPD e suas penalidades: saiba como evitá-las



Nos últimos meses, casos de vazamento de dados pessoais têm ganhado mais evidência no noticiário brasileiro.


Exemplos recentes, ocorridos no âmbito do Ministério da Saúde, dois vazamentos de dados expuseram mais de 250 milhões de brasileiros, com seus dados pessoais e dados sensíveis (constantes de prontuários médicos), incluindo pessoas que já haviam morrido, todas cadastradas no Sistema Único de Saúde (SUS).


Situações como estas reforçam a importância da Lei Geral de Proteção de Dados (LGPD), mormente no tocante à aplicação de penalidades.


A iminência de sua entrada em vigor – as sanções passam a valer a partir de 1° de agosto de 2021 – tem promovido nas empresas verdadeira corrida contra o tempo para adequação de suas atividades à luz da nova legislação.

Essas penalidades são uma série de sanções aplicadas às empresas em caso de descumprimento da LGPD.


Além das multas, que são severas, e variam de até 2% do faturamento da empresa, limitadas a R$ 50 milhões, por infração, existem sanções ainda mais drásticas, como o bloqueio ou inclusive a eliminação de toda a base de dados da empresa infratora.


O artigo 52 elenca quais são as penalidades da LGPD. Vejamos:


  • advertência, com indicação de prazo para adoção de medidas corretivas;

  • multa simples, de até 2% do faturamento, excluídos os tributos, limitada, no total, a R$50 milhões por infração;

  • multa diária, observado o limite total acima descrito;

  • publicização da infração após devidamente apurada e confirmada a sua ocorrência;

  • bloqueio dos dados pessoais a que se refere a infração até a sua regularização;

  • eliminação dos dados pessoais a que se refere a infração;

  • suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;

  • suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 meses, prorrogável por igual período;

  • proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.


Importante ressaltar que já houve o adiamento da entrada em vigor da aplicação das penalidades, que se deu em razão do advento da pandemia da COVID-19 bem como da necessidade de estruturação da Autoridade Nacional de Proteção de Dados, órgão ao qual caberá aplicar as sanções em caso de tratamento de dados realizado de forma irregular e que já se encontra estruturado na Capital Federal, Brasília.


Há quem aposte em nova prorrogação do prazo por mais seis meses ou um ano, como dispõem os projetos de lei 500/2021 e 5672/2019, respectivamente, ambos em tramitação embrionária na Câmara Federal. Em sentido contrário, o PL 578/2021 dispõe no sentido de aplicação imediata das penalidades. Porém, a maioria dos especialistas aposta que não haverá nova prorrogação.


Assim, a novel legislação, mais do que estabelecer regras para o tratamento de dados pessoais, a lei impõe às empresas maior critério antes de solicitarem tantas informações de terceiros, sendo exatamente essa a razão da previsão de aplicação de penalidades.


E o que fazer para mitigar os riscos de sua empresa e evitar as penalidades?


Primeiramente, é fundamental promover investimentos maciços em soluções de cibersegurança e numa assessoria jurídica eficiente, que contemple especialistas em integridade e compliance, contratos e relações trabalhistas, para implementar um projeto de proteção de dados e um consistente sistema de compliance.


Na sequência, promovidos os investimentos iniciais, três outras etapas são cruciais para se evitar as sanções e mitigar os riscos de sua empresa.


A primeira delas é a realização de treinamento sobre os termos da LGPD aos gestores e pessoas com funções chave na empresa; análise das minutas padrão de contratos que a empresa celebra com terceiros e emissão de relatórios com possíveis vulnerabilidades de cibersegurança e de recomendações para conformidade.

Num segundo momento, é vital realizar a revisão dos processos de governança e de privacidade de dados, com a efetiva gestão do consentimento, seja nas autorizações ou nas revogações e a gestão das petições abertas por titulares dos dados, cujas respostas devem ser feitas, em muitos casos, imediatamente, pelo encarregado de dados.


Em terceiro, concretizar ações ligadas à gestão do ciclo de vida dos dados dentro da empresa, definidas pelas expressões data mapping e data discovery, bem como a implementação de técnicas de anonimização dos dados, que estando nesta condição não serão considerados dados pessoais pela lei, desde que o processo seja comprovadamente irreversível.


Por fim, fato é que a LGPD já é uma realidade concreta para as empresas, e quem não se adequar, muito em breve poderá sofrer fiscalização da Autoridade Nacional e estará sujeito à aplicação das penalidades previstas.


Por: Carlos Magno Bracarense



Posts recentes

Ver tudo