LGPD: quais são as multas e sanções que podem ser aplicadas - WHOW

Tecnologia

LGPD: quais são as multas e sanções que podem ser aplicadas

Associações de PMEs questionam a necessidade de mudanças para que não sejam aplicadas sanções desproporcionais

POR Redação Whow! | 13/10/2021 12h16

A Lei Geral de Proteção de Dados (LGPD) é um verdadeiro marco na questão da privacidade digital e nos mecanismos de controle para assegurar que dados pessoais não sejam violados. O problema é que as diretrizes traçadas pela LGDP são mais facilmente adotadas pelas grandes empresas, em função de terem mais recursos humanos e de capital para investir em sua estrutura.

No caso das pequenas e médias empresas, no entanto, as imposições feitas pela lei não estão agradando uma parte do setor, que considera que as alterações podem ser muito onerosas. No entanto, as multas ainda não estão sendo aplicadas na prática. 

Apesar de a lei já estar em vigência desde agosto deste ano, falta ainda um requisito fundamental para aplicação de multas pecuniárias. Isto porque ainda não foram publicadas as metodologias para cálculo do valor-base das sanções, algo que é previsto no artigo 53 da LGPD. Ou seja, por enquanto, as empresas podem fazer a adaptação às regras sem o risco de serem multadas em dinheiro neste período. 

5 passos para se enquadrar à LGPD

Como já discutido em outra matéria da Whow!, os principais desafios para as PMEs ao se enquadrar na LGPD serão as seguintes:

  1. Saber quais dados pessoais podem ser coletados e o porquê – todo cliente gosta de receber um cupom de desconto no aniversário, saber qual é o status de entrega dos pedidos online e ganhar pontos para as próximas compras, entre outras ações. Para manter o cliente satisfeito e atender aos requisitos da LGPD, é preciso saber qual a finalidade da obtenção daquele dado pessoal e verificar se a coleta é legalmente permitida, ou seja, se está inserida em uma das bases legais da Lei.
  2. Adotar um canal de atendimento para os pedidos dos clientes, ou seja, o titular de dados na LGPD. Essa medida viabilizará ao cliente o pedido de deleção de seus dados, assim como a portabilidade ou, simplesmente, ser um acesso para o cliente que quer saber quais dados a empresa mantém em seu domínio.
  3. Armazenar os dados de forma segura, pois ter informações de clientes vazadas pode destruir a imagem e a reputação de uma empresa, principalmente as mais jovens. Assim, é de extrema importância que o empresário se preocupe em manter os dados de maneira segura, inclusive restringindo o acesso somente a pessoas autorizadas.
  4. Atualizar a política de privacidade do site. É uma das principais portas de entrada para que o titular tenha ciência do tratamento de seus dados, bem como saber se a empresa está adequada à LGPD. Neste documento constam as principais tratativas de dados pessoais realizadas pela empresa.
  5. Verificar a coleta cookies, que são arquivos de dados habitualmente instalados no computador ou em outros dispositivos durante a navegação em sites, com o objetivo principal de acompanhar as preferências para apresentar somente anúncios que sejam de interesse dos clientes via site, devem adaptar a possibilidade de “opt-out”, que não são considerados “essenciais” para o funcionamento do site da empresa.

Penalidades previstas na LGPD

De forma geral, a maioria das empresas concorda que essas sugestões são válidas e que fazem sentido para tornar o ambiente digital mais seguro para empresas e clientes. A questão é se as sanções serão aplicadas de forma severa no caso das PMEs, que terão maior dificuldade para se adequar a todas as especificações da nova lei.

As penalidades previstas para infratores são as seguintes: 

“I – advertência, com indicação de prazo para adoção de medidas corretivas;

II – multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;

III – multa diária, observado o limite total a que se refere o inciso II;

IV – publicização da infração após devidamente apurada e confirmada a sua ocorrência;

V – bloqueio dos dados pessoais a que se refere a infração até a sua regularização;

VI – eliminação dos dados pessoais a que se refere a infração;

X – suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador.

XI – suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período.

XII – proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.”

Embora para a aplicação dessas sanções sejam consideradas questões como a gravidade e a natureza das infrações e dos direitos pessoais afetados, a boa-fé do infrator, a vantagem auferida ou pretendida pelo infrator, a condição econômica do infrator e a reincidência, ainda assim pode levar a casos de punições desproporcionais ao dano efetivamente causado.

No começo do ano, o Sebrae, em parceria com entidades parceiras, apresentou uma proposta de adequação da LGPD, por meio do Fórum Permanente das MPE (micro e pequenas empresas) do Ministério da Economia. O documento foi encaminhado para a ANPD (Autoridade Nacional de Proteção de Dados), responsável pela aplicação e fiscalização da lei no Brasil, mas ainda não houve uma decisão final em relação ao caso. 

Segundo o Sebrae, a intenção não é eximir os pequenos negócios da responsabilidade de proteger os dados pessoais, mas sim, que as suas especificidades sejam observadas.

Um ponto que foi apontado durante o webinar “Maratona LGPD: Os Desafios na Proteção de Dados Pessoais” é de que seria benéfico para os pequenos negócios se houvesse uma flexibilização da norma no registro de tratamento de dados pessoais e na indicação de um encarregado de dados pessoais. 

“Para um pequeno negócio e até mesmo para um MEI, o registro dessas informações seria muito oneroso. Não que ele seja desobrigado, mas esse registro poderia ser voluntário e reconhecido como boa-fé em casos de responsabilização”, disse o Encarregado de Dados Pessoais do Sebrae, Diego Almeida.