Quando um tratamento é irregular?
Quando deixar de observar a legislação ou quando não fornecer a segurança que o titular dele pode esperar, consideradas as circunstâncias relevantes, como o modo pelo qual é realizado; o resultado e os riscos que razoavelmente dele se esperam; e as técnicas de tratamento de dados pessoais disponíveis à época em que foi realizado.

Responsabilização por Danos:
O controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a alguém dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará lo.
No entanto:

• Salienta se que os operadores respondem solidariamente se tiverem descumprido a LGPD ou quando não tiver seguido as orientações da LGPD;
• O ônus da prova pode ser revertido para a empresa;
• É possível o ingresso de ações de reparação por danos coletivos;
• Aquele que reparar o dano ao titular tem direito de regresso contra os demais responsáveis, na medida de sua participação no evento danoso.
• Os agentes de tratamento só não serão responsabilizados quando provarem que não realizaram o tratamento de dados pessoais que lhes é atribuído; ou que realizaram sem violação à LGPD e correlatas; ou que o dano é decorrente de culpa exclusiva do titular dos dados ou de terceiro.
• Além dos danos pela LGPD, o titular pode questionar danos da relação de consumo e demais danos cíveis e administrativos.

Das sanções administrativas
Os agentes de tratamento de dados que não atenderem a lei ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional após processo administrativo e conforme gravidade:

• Advertência, com indicação de prazo para adoção de medidas corretivas;
• Multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
• Multa diária, observado o limite total a que se refere o inciso II;
• Publicização da infração após devidamente apurada e confirmada a sua ocorrência;
• Bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
• Eliminação dos dados pessoais a que se refere a infração;
• Suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;
• Suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período;
• Proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.

Como será a apuração da pena?
As sanções serão aplicadas de forma gradativa, isolada ou cumulativa, de acordo com as peculiaridades do caso concreto e considerados:

• A gravidade e a natureza das infrações e dos direitos pessoais afetados;
• A boa fé do infrator;
• A vantagem auferida ou pretendida pelo infrator;
• A condição econômica do infrator;
• A reincidência;
• O grau do dano;
• A cooperação do infrator;
• A adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados;
• A adoção de política de boas práticas e governança;
• A pronta adoção de medidas corretivas; e
• A proporcionalidade entre a gravidade da falta e a intensidade da sanção. Além da sanção mencionada, é possível aplicar outras sanções administrativas, civis ou penais e em legislação específica.

Como será a apuração do valor da multa?
No cálculo do valor da multa, a autoridade nacional poderá considerar o faturamento total da empresa ou grupo de empresas, quando não dispuser do valor do faturamento no ramo de atividade empresarial em 9 / 9 que ocorreu a infração, definido pela autoridade nacional, ou quando o valor for apresentado de forma incompleta ou não for demonstrado de forma inequívoca e idônea.

OBS: A autoridade nacional definirá, por meio de regulamentos próprio, as formas detalhadas de cálculo de pena, das sanções e das multas.

Medidas para cessar a violação
Quando houver infração a esta Lei em decorrência do tratamento de dados pessoais por órgãos públicos, a autoridade nacional poderá enviar informe com medidas cabíveis para fazer cessar a violação (não quer dizer que enviará, a empresa terá que adotar medidas espontaneamente para ter um atenuante na pena).

Ademais, a autoridade nacional poderá solicitar a agentes do Poder Público a publicação de relatórios de impacto à proteção de dados pessoais e sugerir a adoção de padrões e de boas práticas para os tratamentos de dados pessoais pelo Poder Público, por isso é importante ficar atento.