A Lei Nº 13.709, de 14 de agosto de 2018 (Lei Geral de Proteção de Dados – LGPD), regulamenta o tratamento e processamento de dados pessoais em território nacional. A Lei prevê uma seção especial para as infrações e multas, descritas nos artigos 52, 53 e 54 (Multas LGPD). Dessa forma, caberá à Autoridade Nacional de Proteção de Dados a elaboração de diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade e aplicar sanções em caso de tratamento de dados realizado de forma irregular.
Tendo em vista a entrada em vigor da aplicações de multas conforme prevê a LGPD (a aplicação de multas deve ocorrer à partir de 1° de agosto de 2021), trazemos neste texto, e vídeo abaixo, as sanções previstas na LGPD e dicas para mitigar riscos para a sua empresa.
As multas podem variar de 2% do faturamento anual da empresa até o limite de R$ 50 milhões por infração. As penalidades são graduadas de acordo com a gravidade da violação, a dimensão econômica do infrator, a natureza dos dados envolvidos e a reincidência. As multas têm como objetivo incentivar a conformidade com a LGPD e proteger os direitos dos titulares de dados, reforçando a importância da segurança e privacidade na manipulação de informações pessoais. Além das multas, a LGPD também prevê outras sanções, como advertências, bloqueio e eliminação dos dados pessoais que foram objeto de tratamento em desconformidade com a lei.
Entenda: Aplicação de Multas e Sanções Administrativas LGPD
Sobre a Autoridade Nacional de Proteção de Dados
A Autoridade Nacional de Proteção de Dados (ANPD) foi criada pela Medida Provisória n. 869, de 27 de dezembro de 2018, posteriormente convertida na Lei n. 13.853, de 14 de agosto de 2019, que define a Autoridade como órgão da administração pública direta federal do Brasil que faz parte da Presidência da República e possui atribuições relacionadas a proteção de dados pessoais e da privacidade.
Além disso, a missão institucional da ANPD é assegurar a mais ampla e correta observância da LGPD no Brasil e, nessa medida, garantir a devida proteção aos direitos fundamentais de liberdade, privacidade e livre desenvolvimento da personalidade dos indivíduos.
O novo órgão deverá ter a seguinte estrutura organizacional:
- Conselho Diretor (órgão máximo de direção);
- Conselho Nacional de Proteção de Dados Pessoais e da Privacidade
- Corregedoria
- Ouvidoria, órgão de assessoramento jurídico próprio e unidades administrativas necessárias à aplicação da lei.
- Diretores que serão nomeados para mandatos fixos.
Ressalta-se, que, apesar de ser um órgão da administração pública federal direta, a ANPD possui algumas características institucionais que lhe conferem maior independência, tais como a autonomia técnica e decisória e o mandato fixo dos Diretores. Além disso, a LGPD prevê também que a natureza jurídica da ANPD é transitória e poderá ser transformada pelo Poder Executivo em entidade da administração pública federal indireta, submetida a regime autárquico especial e vinculada à Presidência da República.
Outra função da ANPD fica por conta da articulação com outras entidades e órgãos públicos a fim de garantir o cumprimento de sua missão institucional, atuando como órgão central de interpretação da LGPD e do estabelecimento de normas e diretrizes para a sua implementação.
Por fim, a LGPD determina que o Conselho Diretor da ANPD será composto de 5 (cinco) diretores, incluído o Diretor-Presidente. Os membros são escolhidos pelo Presidente da República e por ele nomeados, após aprovação pelo Senado Federal, e devem ser escolhidos dentre brasileiros que tenham reputação ilibada, nível superior de educação e elevado conceito no campo de especialidade dos cargos para os quais serão nomeados. O mandato dos membros do conselho diretor será de 4 (quatro) anos. Para assegurar uma renovação gradual, apenas os mandados da primeira diretoria terão durações diferentes, de 2 (dois), 3 (três), 4 (quatro), 5 (cinco) e 6 (seis) anos.
Em resumo, compete à ANPD:
I – zelar pela proteção dos dados pessoais, nos termos da legislação;
II – zelar pela observância dos segredos comercial e industrial, observada a proteção de dados pessoais e do sigilo das informações quando protegido por lei ou quando a quebra do sigilo violar os fundamentos do art.
Entrada em vigor da LGPD
A Lei Geral de Proteção de Dados, aprovada em agosto de 2018, inicialmente tinha sua entrada em vigor prevista para 16 de fevereiro de 2020. Com a aprovação da Lei n° 13.853/2019, em julho de 2019, a entrada em vigor da lei foi alterada para 16 de agosto de 2020.
Já a Lei n. 14.010/2020, que dispõe sobre o Regime Jurídico Emergencial e Transitório das relações jurídicas de Direito Privado (RJET) no período da pandemia do coronavírus (Covid-19), alterou a data de entrada em vigor das sanções previstas na LGPD. Em seu art. 20, estipulou que a vigência dos artigos referente às sanções administrativas pela infração ao disposto da Lei Geral de Proteção de Dados se dará a partir de 1º de agosto de 2021.
Multas LGPD e Sanções previstas na Lei
A seguir elencamos os artigos da Lei 13.709/2018, já com as alterações aplicadas da Lei 13.853/2019, referentes às sanções e multas previstas na LGPD.
É importante destacar que as penalidades provenientes de infração à LGPD não substituem as sanções ou multas cíveis ou penais previstas em legislação específica.
Artigo 52 – Sanções LGPD
Art. 52. Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas nesta Lei, ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional:
I – advertência, com indicação de prazo para adoção de medidas corretivas;
II – multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
III – multa diária, observado o limite total a que se refere o inciso II;
IV – publicização da infração após devidamente apurada e confirmada a sua ocorrência;
V – bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
VI – eliminação dos dados pessoais a que se refere a infração;
X – suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;
XI – suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período;
XII – proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
§ 1º As sanções serão aplicadas após procedimento administrativo que possibilite a oportunidade da ampla defesa, de forma gradativa, isolada ou cumulativa, de acordo com as peculiaridades do caso concreto e considerados os seguintes parâmetros e critérios:
I – a gravidade e a natureza das infrações e dos direitos pessoais afetados;
II – a boa-fé do infrator;
III – a vantagem auferida ou pretendida pelo infrator;
IV – a condição econômica do infrator;
V – a reincidência;
VI – o grau do dano;
VII – a cooperação do infrator;
VIII – a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados, em consonância com o disposto no inciso II do § 2º do art. 48 desta Lei;
IX – a adoção de política de boas práticas e governança;
X – a pronta adoção de medidas corretivas; e
XI – a proporcionalidade entre a gravidade da falta e a intensidade da sanção.
§ 2º O disposto neste artigo não substitui a aplicação de sanções administrativas, civis ou penais definidas na Lei nº 8.078, de 11 de setembro de 1990, e em legislação específica.
§ 3º O disposto nos incisos I, IV, V, VI, X, XI e XII do caput deste artigo poderá ser aplicado às entidades e aos órgãos públicos, sem prejuízo do disposto na Lei nº 8.112, de 11 de dezembro de 1990, na Lei nº 8.429, de 2 de junho de 1992, e na Lei nº 12.527, de 18 de novembro de 2011.
§ 4º No cálculo do valor da multa de que trata o inciso II do caput deste artigo, a autoridade nacional poderá considerar o faturamento total da empresa ou grupo de empresas, quando não dispuser do valor do faturamento no ramo de atividade empresarial em que ocorreu a infração, definido pela autoridade nacional, ou quando o valor for apresentado de forma incompleta ou não for demonstrado de forma inequívoca e idônea.
§ 5º O produto da arrecadação das multas aplicadas pela ANPD, inscritas ou não em dívida ativa, será destinado ao Fundo de Defesa de Direitos Difusos de que tratam o art. 13 da Lei nº 7.347, de 24 de julho de 1985, e a Lei nº 9.008, de 21 de março de 1995.
§ 6º As sanções previstas nos incisos X, XI e XII do caput deste artigo serão aplicadas:
I – somente após já ter sido imposta ao menos 1 (uma) das sanções de que tratam os incisos II, III, IV, V e VI do caput deste artigo para o mesmo caso concreto; e
II – em caso de controladores submetidos a outros órgãos e entidades com competências sancionatórias, ouvidos esses órgãos.
§ 7º Os vazamentos individuais ou os acessos não autorizados de que trata o caput do art. 46 desta Lei poderão ser objeto de conciliação direta entre controlador e titular e, caso não haja acordo, o controlador estará sujeito à aplicação das penalidades de que trata este artigo.
Artigo 53 – LGPD
Art. 53. A autoridade nacional definirá, por meio de regulamento próprio sobre sanções administrativas a infrações a esta Lei, que deverá ser objeto de consulta pública, as metodologias que orientarão o cálculo do valor-base das sanções de multa.
§ 1º As metodologias a que se refere o caput deste artigo devem ser previamente publicadas, para ciência dos agentes de tratamento, e devem apresentar objetivamente as formas e dosimetrias para o cálculo do valor-base das sanções de multa, que deverão conter fundamentação detalhada de todos os seus elementos, demonstrando a observância dos critérios previstos nesta Lei.
§ 2º O regulamento de sanções e metodologias correspondentes deve estabelecer as circunstâncias e as condições para a adoção de multa simples ou diária.
Artigo 54 – LGPD
Art. 54. O valor da sanção de multa diária aplicável às infrações a esta Lei deve observar a gravidade da falta e a extensão do dano ou prejuízo causado e ser fundamentado pela autoridade nacional.
Parágrafo único. A intimação da sanção de multa diária deverá conter, no mínimo, a descrição da obrigação imposta, o prazo razoável e estipulado pelo órgão para o seu cumprimento e o valor da multa diária a ser aplicada pelo seu descumprimento.
A partir de 1 de Agosto de 2021 a Autoridade Nacional de Proteção de Dados Pessoais iniciará com a aplicação de Sanções administrativas com base na LGPD. Confira quais são as sanções, acessando a apresentação abaixo:
Entenda como a ANPD irá realizar a Dosimetria para aplicação de multas pecuniárias em casos de violação à LGPD
Confira o texto completo sobre a Norma de Dosimetria da ANPD para aplicação de sanções administrativas previstas na LGPD.