LGPD - Riscos e penalidades

Quando um tratamento é irregular?
Quando deixar de observar a legislação ou quando não fornecer a segurança que o titular dele pode esperar, consideradas as circunstâncias relevantes, como o modo pelo qual é realizado; o resultado e os riscos que razoavelmente dele se esperam; e as técnicas de tratamento de dados pessoais disponíveis à época em que foi realizado.

Responsabilização por Danos:
O controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a alguém dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará lo.
No entanto:

  • Salienta se que os operadores respondem solidariamente se tiverem descumprido a LGPD ou quando não tiver seguido as orientações da LGPD;
  • O ônus da prova pode ser revertido para a empresa;
  • É possível o ingresso de ações de reparação por danos coletivos;
  • Aquele que reparar o dano ao titular tem direito de regresso contra os demais responsáveis, na medida de sua participação no evento danoso.
  • Os agentes de tratamento só não serão responsabilizados quando provarem que não realizaram o tratamento de dados pessoais que lhes é atribuído; ou que realizaram sem violação à LGPD e correlatas; ou que o dano é decorrente de culpa exclusiva do titular dos dados ou de terceiro.
  • Além dos danos pela LGPD, o titular pode questionar danos da relação de consumo e demais danos cíveis e administrativos.


Das sanções administrativas

Os agentes de tratamento de dados que não atenderem a lei ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional após processo administrativo e conforme gravidade:

  • Advertência, com indicação de prazo para adoção de medidas corretivas;
  • Multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
  • Multa diária, observado o limite total a que se refere o inciso II;
  • Publicização da infração após devidamente apurada e confirmada a sua ocorrência;
  • Bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
  • Eliminação dos dados pessoais a que se refere a infração;
  • Suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;
  • Suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período;
  • Proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.


Como será a apuração da pena?

As sanções serão aplicadas de forma gradativa, isolada ou cumulativa, de acordo com as peculiaridades do caso concreto e considerados:

  • A gravidade e a natureza das infrações e dos direitos pessoais afetados;
  • A boa fé do infrator;
  • A vantagem auferida ou pretendida pelo infrator;
  • A condição econômica do infrator;
  • A reincidência;
  • O grau do dano;
  • A cooperação do infrator;
  • A adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados;
  • A adoção de política de boas práticas e governança;
  • A pronta adoção de medidas corretivas; e
  • A proporcionalidade entre a gravidade da falta e a intensidade da sanção. Além da sanção mencionada, é possível aplicar outras sanções administrativas, civis ou penais e em legislação específica.


Como será a apuração do valor da multa?

No cálculo do valor da multa, a autoridade nacional poderá considerar o faturamento total da empresa ou grupo de empresas, quando não dispuser do valor do faturamento no ramo de atividade empresarial em 9 / 9 que ocorreu a infração, definido pela autoridade nacional, ou quando o valor for apresentado de forma incompleta ou não for demonstrado de forma inequívoca e idônea.

OBS: A autoridade nacional definirá, por meio de regulamentos próprio, as formas detalhadas de cálculo de pena, das sanções e das multas.

Medidas para cessar a violação
Quando houver infração a esta Lei em decorrência do tratamento de dados pessoais por órgãos públicos, a autoridade nacional poderá enviar informe com medidas cabíveis para fazer cessar a violação (não quer dizer que enviará, a empresa terá que adotar medidas espontaneamente para ter um atenuante na pena).

Ademais, a autoridade nacional poderá solicitar a agentes do Poder Público a publicação de relatórios de impacto à proteção de dados pessoais e sugerir a adoção de padrões e de boas práticas para os tratamentos de dados pessoais pelo Poder Público, por isso é importante ficar atento.

E.A. BRAGHINI SOCIEDADE INDIVIDUAL DE ADVOCACIA
CNPJ: 26.398.045/0001-50