A multa e as demais penalidades previstas na Lei Geral de Proteção de Dados – LGPD
A Lei Geral de Proteção de Dados- Lei nº 13.709/2018 que entrou em vigor em setembro de 2020 já é uma realidade no dia a dia das pessoas. Quem navega na internet já se deparou com o aviso para aceitar ou rejeitar cookies e a informação sobre aviso de privacidade. Pois bem, ambos são dois de alguns dos indicativos de que a empresa está adequada à LGPD.
A referida lei prevê no artigo 52 as sanções no caso de violações/vazamento de dados pessoais.
I advertência;
II multa simples, de até 2% do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 por infração;
III multa diária;
IV publicização da infração após apurada e confirmada a sua ocorrência;
V bloqueio dos dados pessoais até a sua regularização;
VI eliminação dos dados pessoais;
X suspensão parcial do funcionamento do banco de dados pelo período máximo de 6 meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;
XI suspensão do exercício da atividade de tratamento dos dados pessoais pelo período máximo de 6 meses prorrogável por igual período;
XII proibição parcial/total do exercício de atividades relacionadas a tratamento de dados.
A aplicação da multa simples e da multa diária causa prejuízo financeiro ao negócio do controlador e operador de dado pessoal; lembrando que a responsabilidade entre ambos é solidária em caso de vazamento de dados.
A multa é coercitiva, podendo ser fixada em percentual sobre o faturamento da pessoa jurídica. Cabe lembrar que há pouco tivemos a primeira multa aplicada pela Autoridade Nacional de Proteção de Dados (ANPD) em face de uma microempresa. Para esta empresa foram aplicadas duas multas simples (2% sobre o seu faturamento bruto, em cada uma) e uma sanção de advertência. Importante lembrar que a incidência da multa tem potencial para acarretar risco financeiro à empresa.
A multa é a sanção mais “barulhenta” e não é a única aplicável, como já vimos anteriormente. O artigo 52 da Lei menciona: advertência, publicização da infração, bloqueio/eliminação dos dados pessoais, suspensão do exercício da atividade de tratamento de dados e proibição parcial/total do exercício de atividades relacionadas ao tratamento de dados. A advertência é a mais branda quando comparada às outras penalidades. As demais merecem atenção já que a aplicação de qualquer uma delas pode gerar prejuízos iguais/superiores as multas. Os efeitos nefastos de uma notícia de incidente de segurança, ou seja, descumprimento da LGPD, pode impactar negativamente a continuidade da atividade econômica e social do negócio, pois a imagem da empresa fica vinculada ao não respeito à proteção de dados, não respeito à privacidade e também não cuida de segurança da informação, possuindo riscos.
A Gestão atenta ao avanço tecnológico e ciente de que dados são a riqueza da sociedade digital sabe que os consumidores tendem a ser mais fiéis as empresas com boa reputação ética, que demonstram cuidado e zelo nas suas operações, refletindo confiança. A informação necessita ser trabalhada de forma transparente para não gerar barreira de negócios e risco reputacional. Logo, o investimento na adequação total/parcial à LGPD é infinitamente menor às consequências decorrentes de violação de dados pessoais.