Sanções Administrativas na LGPD. O que muda para as empresas?

Quais sanções podem ser aplicadas pela Autoridade Nacional de Proteção de Dados (ANPD)? A Lei Geral de Proteção de Dados (LGPD) previu um rol variado de sanções administrativas, de natureza admoestativa (advertência e publicização), pecuniária (multa) e restritiva de atividades (bloqueio, suspenção e proibição da atividade de tratamento). 

Estar de acordo com a lei é um desafio de todos os segmentos e áreas de um negócio, como recursos humanos, vendas, marketing, quadros superiores, mas acima de tudo o departamento jurídico e TI.

Acompanhe neste link o evento exclusivo Sanções Administrativas na LGPD realizado pelo Graça Advogados no YouTube: https://youtu.be/iyKupFZpGnk

Apresentação:

Dra. Denize Graça

Mediação:

Dr. João Graça

Convidados:

Dr. Sergio Bragatte

Dr. Antonio Miranda Gabrielli

Apoiadores:

APRAS

SINDIMERCADOS

Agentes de Tratamento da LGPD. Sanções Administrativas

Conforme o art. 52 da LGPD, a ANPD pode aplicar as seguintes sanções administrativas:

  • advertência, com indicação de prazo para adoção de medidas corretivas;
  • multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
  • multa diária, observado o limite total a que se refere o inciso II;
  • publicização da infração após devidamente apurada e confirmada a sua ocorrência;
  • bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
  • eliminação dos dados pessoais a que se refere a infração;
  • suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador; 
  • suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período; 
  • proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.  

Onde a Lei Geral de Proteção de Dados (LGPD) tem falhas?

“Das principais falhas sobre a LGPD, vejo o sentido de não diferenciar as pequenas das grandes empresas. A adequação e o Compliance LGPD geram custos num primeiro momento que serão depois traduzidos em investimentos. Na adequação e no diagnóstico, a LGPD identifica gaps no seu negócio que permitem melhorias, mas vemos o mesmo ônus dado ao pequeno ao grande empresário”.

Dr. Sergio Bragatte

Como a empresa comprova que garante a proteção de dados? Somente com a certificação da ISO?

“Através da documentação produzida. Hoje temos plataformas que auxiliam neste mapeamento do fluxo dos dados. A depender da atividade, posso ou não buscar a certificação da ISO. Exemplo. Eu, advogado. Em tecnologia, armazeno os dados dos meus clientes na nuvem e tenho definida a Política de Privacidade. Qual minha política de segurança? Se eu for fiscalizado amanhã pela ANDP, direi: a minha política de privacidade de dados é da Microsoft. Com quem compartilho esses dados? Com o Tribunal de Justica, que está em conformidade com a LGPD. Como uso essa informação? Para fins dos processos. E posterior eliminação dos dados”.

Dr. Sergio Bragatte

 

Tratamento de Dados. Sanções Administrativas na LGPD
Caminho do Tratamento dos Dados

Sua empresa está pronta para respeitar e atender a todos os direitos de seus clientes e titulares dos dados? Veja os direitos do Titular:

Acesso aos contatos para comunicação direta com o Controlador;

Conhecimento da finalidade;

Forma e duração do tratamento (nulo se em condição abusiva ou enganosa);

Informação sobre tratamento compartilhado de dados pelo Controlador;

Informação do contato do Controlador (no caso o Encarregado);

Informação dos agentes (de tratamento) que realizarão o tratamento (Controlador + Operador + Encarregado).

Ciência inequívoca dos direitos do art. 18 da LGPD, quando o tratamento de dados for condição para o fornecimento de produto ou serviço.

Artigo 18º da LGPD:

Direito de obter do Controlador os dados do titular por ele tratados, mediante simples requisição e de forma facilitada;

Confirmação da existência de dados pessoais ou sensíveis;

Acesso ao conteúdo do banco de dados sobre o titular;

Correção dos dados se incompletos, inexatos ou desatualizados;

Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a finalidade;

Portabilidade dos dados a outro fornecedor de serviço ou produto;

Eliminação dos dados pessoais tratados com o consentimento do titular;

Informação de compartilhamento;

Revogação do consentimento;

Peticionamento junto à Autoridade Nacional contra o Controlador.

Como a sua empresa deve responder aos pedidos dos Titulares?

Artigo 19º – Resposta à Solicitação do Titular

A confirmação, ou não, da existência de dados quando da solicitação do titular deverá ser em “formato simplificado” (meio eletrônico ou impresso) imediatamente, até 15 dias;

Deverá conter: quais são os dados, origem, inexistência de registro, critério e finalidade do tratamento (ressalva ao segredo comercial ou industrial).

Como o seu negócio deve comunicar à Autoridade Nacional de Proteção de Dados (ANPD) da ocorrência de algum incidente de segurança que possa acarretar risco ou dano relevante aos Titulares?

Artigo 48º – Comunicação à Autoridade Nacional e aos Titulares.

Obrigação do Controlador em comunicar a Autoridade Nacional a ocorrência de algum incidente de segurança que possa acarretar risco ou dano relevante aos Titulares;

A comunicação deverá conter: (i)descrição da natureza dos dados afetados, (ii) informação sobre os titulares envolvidos, (iii) indica das medidas técnicas e de segurança utilizadas para proteção dos dados, (iv) riscos do incidente, (v) motivo de eventual demora na comunicação, se o caso e (vi) medidas que estão foram e serão adotadas pra reverter ou mitigar os efeitos.

A autoridade Nacional, a seu critério, verificará a gravidade do incidente e se necessário para salvaguardar os interesses dos Titulares poderá determinar ao Controlador as seguintes providências: (i) ampla divulgação dos fatos em meios de comunicação e (ii) medidas pra reverter ou mitigar os efeitos do incidente;

A Autoridade Nacional irá avaliar as medidas tomadas pelo Controlador para que tornem os dados “ininteligíveis”, no âmbito dos limites técnicos de seus serviços, para terceiros não autorizados acessarem os dados.

Autoridade Nacional de Proteção de Dados (ANPD)

Quais os principais alertas e cuidados aos gestores de RH e empregadores nas questões  trabalhistas?

“No RH, todas as pessoas que são admitidas, demitidas, independente do porte, as empresas irão precisar da atenção ao tratamento dos dados. Para as empresas prestadoras de serviços, quase todos os seus contratantes já enviaram aditivos contratuais com as regras de LGPD, inclusive em alguns casos até já prevendo multas em casos de descumprimento. Com as sanções em vigor veremos essa aceleração”.

Dr. Antonio Miranda Gabrielli

Quais as sanções administrativas e fiscalizações onde a sua empresa correrá riscos?

Artigos 52º e 54º – Fiscalização e Sanção

Os Agentes de Tratamento: Controlador e Operador (art. 5º, IX da LGPD) estão sujeitos às seguintes sanções:

A) Advertência com indicação de prazo para adoção das medidas corretivas;

B) multa simples de até 2% do faturamento da PJ, grupo ou conglomerado, “excluídos os tributos”, limitada a R$ 50 milhões por infração;

C) multa diária observado o limite;

Publicização da infração (após apurada e confirmação da sua ocorrência);

D) bloqueio de tratamento dos dados pessoais até a regularização do incidente;

E) eliminação dos dados pessoais a que se refere o incidente.

Critérios para fixação da multa: (i) gravidade da infração e dos direitos afetados, (ii) boa-fé do infrator, (iii) existência de alguma vantagem auferida pelo infrator, (iv) condição econômica do infrator, (v) reincidência, (vi)grau do dano, (vii) cooperação do infrator na apuração e na tomada de medidas para solução e/ou remediação, (viii) adoção das politicas de boas pratica e governança da privacidade, (ix) pronta adoção de medidas corretivas, (x) proporcionalidade entre a gravidade da falta e a intensidade da sanção.

A multa será aplicada sem prejuízo de outras medidas administrativas ou indenizatório no âmbito civil e criminal.

As sanções administrativas e a multa (dosimetria do cálculo do valor-base) serão reguladas pela Autoridade Nacional, mediante regra própria, que será objeto de consulta pública.

Onde estão as principais demandas com a LGPD? Na esfera trabalhista, quais dados dos empregados estão em poder da empresa e o que é feito?

“Da procura da vaga à contratação, do estar trabalhando ao desligamento da empresa. Na condição de Operador – que trata dos tatos – ou de Operador – alguém que obtém os dados –, a qualquer momento posso receber um pedido de atualização, exclusão dos dados por parte do Titular. As multas serão um incentivador para as empresas nessa adequação.”

Dr. Antonio Miranda Gabrielli

Graça Advogados

“Agradecemos a Associação Paranaense de Supermercados (APRAS) e ao Sindimercados pela divulgação expressiva deste evento sobre sanções administrativas na LGPD. Uma oportunidade de levar conhecimento de um tema cuja legislação é recente e a aplicação é ainda insípida, mas com consequências muito grandes. Por nossa obrigação de advocacia preventiva, o Graça agradece a todos”.

Dr. João Graça

Caminho para adequação da LGPD

Especial Sanções Administrativas. Saiba Mais:

CONCEITOS (GLOSSÁRIO) LGPD

Dado pessoal: relacionada à pessoa natural inidentificável ou identificada;

Dado pessoal sensível: origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização religiosa, filosófica ou política, referente à saúde ou à vida sexual, dado genético ou biométrico;

Dado anonimizado: dado que não possa ser identificado;

Banco de dados: conjunto estruturado de dados pessoais, em um ou vários locais, em suporte eletrônico ou físico;

Titular: pessoa natural a quem se referem os dados pessoais objeto do tratamento – art. 17 – LGPD c/c art. 11 do CC, que trata da irrenunciabilidade e intransmissibilidade dos dados pessoais;

Tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;

Anonimização: utilização de maios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação direta ou indireta, a um indivíduo;

Consentimento: manifestação inequívoca concordando com o tratamento de dados pra uma finalidade específica;

Relatório de impacto: documentação do controlador que contém a descrição dos processo de tratamento de dados pessoais que podem gerar riscos às liberdades civil e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco;

Autoridade Nacional de Proteção de Dados (ANPD): órgão da administração publica indireta responsável por zelar, implementar e fiscalizar.

Controlador: pessoa natural ou jurídica, de direito publico ou privado, a quem competem as decisões referente ao tratamento de dados;

Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados em nome do controlador;

Encarregado: pessoa natural, indicada pelo controlador, que atual como o canal de comunicação entre o controlador e os titulares e a autoridade nacional.

(Créditos: Artesania Comunicação Jurídica / Infográficos: material de pesquisa extraído da internet)

Notícias Graça Advogados:

Graça Advogados Associados. Escritório Mais Admirado na Região Sul