Entenda quais são os riscos e as sanções por descumprir a LGPD
O descumprimento da Lei Geral de Proteção de Dados (LGPD) pode custar caro para as empresas. Além das sanções que podem ser aplicadas pela ANPD (Autoridade Nacional de Proteção de Dados), há ainda a possibilidade de enfrentar ações judiciais e de lidar com multas de outros órgãos, como o Procon.
O que é a LGPD
Antes de falarmos sobre as sanções da LGPD, vamos relembrar rapidamente o que é a lei. A Lei Geral de Proteção de Dados entrou em vigor em setembro de 2020 e estabeleceu uma série de critérios para o tratamento de dados pessoais nas empresas.
Basicamente, ela define as hipóteses em que é permitido coletar e usar dados pessoais de pessoas físicas. Por exemplo, com o consentimento do titular ou para cumprir uma obrigação legal. Além disso, também estabeleceu vários direitos para os titulares de dados, os verdadeiros “donos” do dado pessoal.
Para se adequar à LGPD as empresas precisam garantir que o tratamento de dados esteja enquadrado em uma das hipóteses previstas na lei. Também devem proteger os dados pessoais sob sua responsabilidade, evitando incidentes de segurança. Além, claro, de respeitar os direitos dos titulares e cumprir com outros pontos de conformidade.
Exemplos do que pode ser considerado uma infração à LGPD
Para entender o que pode levar a uma sanção, veja alguns exemplos do que pode ser considerado uma infração à LGPD.
- Não informar ao titular qual é a finalidade do tratamento de dados;
- Coletar um dado pessoal para uma finalidade e usá-lo para outra;
- Comprar bancos de dados ou vender dados pessoais para outras empresas;
- Coletar e tratar dados pessoais em excesso;
- Fornecer termos de consentimento vagos ou imprecisos;
- Não adotar medidas que garantam a proteção dos dados coletados;
- Ignorar quando o titular faz uma solicitação ou reivindica o cumprimento de um direito;
- Deixar de seguir as regras específicas para dados sensíveis, como dados biométricos ou informações sobre raça e religião.
Quais são as sanções previstas na LGPD
Além de delinear as obrigações das empresas e os direitos dos titulares, a LGPD também prevê sanções administrativas para quem descumprir a lei.
Confira:
- Advertência, com prazo para adotar medidas corretivas;
- Multas simples de até 2% do último faturamento anual da empresa, limitada a R$ 50 milhões por infração;
- Multas diária, também limitada a R$ 50 milhões por infração;
- Divulgação pública da infração;
- Bloqueio dos dados pessoais envolvidos na infração até que a situação seja regularizada;
- Eliminação dos dados pessoais a que se refere a infração;
- Suspensão parcial do funcionamento do banco de dados envolvido na infração por até seis meses, prorrogáveis por igual período;
- Suspensão da atividade de tratamento de dados pessoais a que se refere a infração por até seis meses, prorrogáveis por igual período;
- Proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
O que pode acontecer em caso de infração à LGPD
Agora que já mostramos quais são as sanções previstas na LGPD, vamos explicar melhor o que pode acontecer em casos de infração à lei. E, como já adiantamos, as sanções administrativas são apenas uma das consequências possíveis.
Sanções aplicadas pela ANPD
As sanções previstas na lei podem ser aplicadas pela ANPD, a entidade responsável por fiscalizar o cumprimento da LGPD. Atualmente, o órgão está em processo de definir a metodologia que será usada como base para o cálculo das multas.
Porém, qualquer sanção só pode ser aplicada depois de um processo administrativo com direito a ampla defesa. Ou seja, a empresa sempre terá a oportunidade de se explicar.
Embora as multas sejam as sanções que mais preocupam as empresas, é importante destacar que outras punições previstas na lei também têm um custo alto.
Por exemplo, a divulgação pública da infração pode prejudicar a reputação da empresa e fazê-la perder clientes e negócios. Já a suspensão das atividades de tratamento de dados pode inviabilizar a continuidade do negócio como um todo, dependendo da área de atuação da companhia.
Ações judiciais
Desde que a LGPD entrou em vigor, ela pode e vem sendo usada como base para ações judiciais, independentemente de investigação ou punição por parte da ANPD. Já foram movidas centenas de ações por parte dos próprios titulares de dados e de órgãos como o Ministério Público, a Defensoria Pública e o Idec (Instituto Brasileiro de Defesa do Consumidor).
Aliás, a LGPD é bem clara a respeito da responsabilidade dos operadores e controladores de dados:
Art. 42. O controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo.
Como a lei é recente, a maior parte das decisões referentes a ações judiciais ainda é de primeira instância. Confira algumas condenações recentes:
- Linha de metrô é condenada a pagar R$100 mil por instalar câmeras com reconhecimento facial
- INSS é condenado a indenizar segurada por vazamento de dados
- Cooperativa é condenada por infração à LGPD
- Justiça do RS condena instituição de ensino por violar a LGPD
- Justiça proíbe Serasa de vender informações pessoais de cadastrados
Fiscalizações do Procon
Por fim, as empresas que descumprem a LGPD também podem ser alvo do Procon. O órgão vem atuando ativamente na fiscalização e na autuação das empresas com base na lei.
Em março deste ano, o Procon-SP notificou o Mercado Livre para prestar esclarecimentos sobre um vazamento de dados. No Mato Grosso do Sul, o órgão autuou as empresas Centauro, Grupo Pão de Açúcar, James, Leroy Merlin e Privália depois de constatar irregularidades nas políticas de privacidade e de cookies, em discordância com a LGPD. Em 2021, a rede Drogasil foi multada pelo Procon-MT em R$ 572 mil pelo uso ilegal de dados pessoais.
Fonte: Privally
