Sanções da LGPD entraram em vigor no dia 1º de agosto. Qual o impacto dessas regras?
Após quase um ano da vigência da lei 13.709/18, conhecida como LGPD, as sanções previstas na legislação entraram em vigor e, consequentemente, terão início as fiscalizações realizadas pelo órgão regulador ANPD. Outas penalidades poderão ser aplicadas por órgãos competentes com base em legislações específicas, como, por exemplo, PROCON, em face do Código de Defesa do Consumidor.
As sanções previstas pela legislação podem chegar até 50 milhões de reais, porém conforme os últimos posicionamentos da ANPD, acredita-se que inicialmente a postura será mais didática do que punitiva, a fim de que as empresas e a população em geral se conscientizem sobre o uso adequado dos dados.
Apesar de a legislação prever as punições, a intenção é regularizar o uso indiscriminado dos dados pessoais, portanto, se a empresa demonstrar à autoridade que está em conformidade com o que a lei prescreve, se mantém o registro das operações de tratamento de dados, bem como a documentação legalmente exigida, restará demonstrada a boa-fé em casos de incidentes de segurança.
A severidade ou qualidade da pena administrativa aplicável é identificada de acordo com ponderação de diversos elementos e critérios no caso concreto, que sejam hábeis a demonstrar que a organização agiu conforme a LGPD, em especial em relação às cautelas administrativas e técnicas de segurança dos dados pessoais tratados, desde que nos limites impostos pela legislação e com atendimento aos direitos dos titulares.
Ademais, em caso de incidente de segurança, são relevados elementos objetivos do tratamento de dados pessoais realizado, como, por exemplo, existência de dados sensíveis, transferência internacional de dados, volume de dados tratados, compartilhamento com terceiros, natureza da atividade realizada, dentre outros, que por suas características possam por si elevar o risco ou dano potencial aos titulares de dados pessoais. Documentos como relatório de impacto, relatório de legítimo interesse, registros de mapeamento, dentre outros diversos recursos que compõem o projeto de conformidade à LGPD, conferem segurança e previsibilidade no tratamento de dados pessoais e eventuais riscos que possam ensejar responsabilidade.
É importante ressaltar que a responsabilização do controlador e operador sobre os danos causados ao titular apenas será cabível quando houver violação às obrigações respaldadas na lei. Ou seja: uma empresa em conformidade com as obrigações legais terá um conjunto de documentos e registros que respaldam a regularidade das operações de dados, afastando a responsabilidade indenizatória, bem como a possibilidade de aplicação de multa.
Entre em contato conosco para mais informações.
TRISP – Andrea Rebechi de Abreu Fattori e Mariana Barcelos Nazari.