Associações podem sofrer com multas e sanções se descumpridas as regras da LGPD. A Lei Geral de Proteção de Dados entrou em vigor em 18 de setembro de 2020, porém as sanções administrativas passaram a ser exigíveis a partir de 1º agosto de 2021, nos termos da Lei nº 13.709/2018, ou LGPD.
Agora, tanto pessoas físicas quanto jurídicas que realizam operações de tratamento de dados e que infringirem as regras estabelecidas pela LGPD, estarão sujeitas ao recebimento das sanções administrativas e multas previstas na Lei, aplicadas pela ANPD. Vamos entender melhor quem são os atores dessa fase e quais são as penalidades
ANPD – Quem fiscaliza
A LGPD, além de legislar sobre a segurança, tratamento e utilização de dados dos indivíduos brasileiros, também criou a Autoridade Nacional de Proteção de Dados – ANPD, que possui como uma de suas competências as atividades de fiscalização e aplicação de multa, quando identificado o descumprimento da LGPD.
A ANPD é um órgão da administração pública federal, que possui autonomia técnica e decisória sobre a LGPD. Em seu site (https://www.gov.br/anpd/pt-br) você pode entender mais sobre esse órgão, mas destacamos aqui a íntegra de seu objeto de atuação:
- Elaborar as diretrizes para a Política Nacional de Proteção de Dados e da Privacidade;
- Promover na população o conhecimento das normas e das políticas públicas sobre proteção de dados pessoais e das medidas de segurança;
- Promover e elaborar estudos sobre as práticas nacionais e internacionais de proteção de dados pessoais e privacidade;
- Estimular a adoção de padrões para serviços e produtos que facilitem o exercício de controle dos titulares sobre seus dados pessoais;
- Fiscalizar e aplicar sanções em caso de tratamento de dados realizado em descumprimento à legislação.
O que pode acontecer se não for cumprida a LGPD
Diversos advogados entendem que as penalidades previstas na LGPD podem ser impostas a empresas e instituições sem fins lucrativos para qualquer tipo de descumprimento dos normativos descritos, desde a não informação ao usuário, passando pelo vazamento das informações, até o descumprimento do que foi acordado. Diante disso, faz-se necessário destacar quais são essas sanções. Seguem:
Advertência
Nesse primeiro tipo de penalidade, uma advertência é aplicada pela ANPD, que concede ao infrator um prazo para regularização e adequação do projeto a legislação prevista na LGPD. Caso não sejam regularizados os apontamentos feitos dentro do prazo estabelecido, sanções serão aplicadas conforme cada caso, sendo elas relacionadas nos abaixo:
- Multa
Caso a advertência não tenha sido sanada, a ANPD deverá aplicar uma multa. Essa multa é simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada a R$50 milhões de reais por infração. Essa multa também pode ser diária, limitada ao valor informado.
- Publicização
ANPD irá tornar pública a infração cometida.
- Bloqueio
Aqui, a ANPD aplica o impedimento temporário no tratamento dos dados pessoais da instituição ou pessoa física, até a regularização da situação.
- Eliminação
Exclusão/eliminação de todos os dos dados pessoais a que se refere a infração.
- Suspensão
São dois tipos de suspensão:
– Suspensão parcial do funcionamento do banco de dados da infração por até 06 (seis) meses, prorrogável por igual período, até a regularização.
– Suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração, pelo período máximo de 06 (seis) meses, prorrogável por igual período.
- Proibição
A ANPD poderá proibir parcial ou total o Exercício de Atividades de Tratamento de Dados.
Entenda o processo investigativo e a aplicação de penalidades
As penalidades possuem graus diferenciados de impacto no infrator. É preciso entender que as sanções aplicadas pela ANPD, em consequência da LGPD, ocorrem de acordo com as peculiaridades de cada caso.
Uma equipe técnica da ANPD irá instaurar um procedimento administrativo para analisar a eventual infração. Nesse processo, serão analisados a gravidade e a natureza dos acontecimentos e dos direitos pessoais afetados. Diante disso, a ANPD ainda considerará particularidades do infrator, como a boa-fé, vantagens auferidas/pretendidas, condição econômica da instituição/pessoa e a cooperação para a resolução do ato ocorrido. Além disso, outros pontos que serão observados são o grau do dano e a reincidência do infrator.
Quando abordamos a necessidade de adaptação das instituições em seus processos internos para a implementação da LGPD no texto Entenda a importância da LGPD para sua associação ou sindicato, é porque esse também um item avaliado. Na investigação feita pela ANPD, são identificados a existência de procedimentos e mecanismos tomados/instaurados pelo infrator na adequação a Lei e a segurança dos dados.
O futuro com as sanções da LGPD
Como será o futuro das instituições com o impacto das sanções geradas por meio da LGPD? De certo, para quem não se adaptar à nova legislação, tende a ser difícil.
Vamos pegar um exemplo. O tratamento de dados sensíveis é uma realidade também em outros países. Conforme divulgado pela revista Isto É (https://www.istoedinheiro.com.br/por-violacao-de-dados-british-airways-e-multada-em-us-230-milhoes/), houve aplicação de multa para a empresa British Airways, no valor de R$183 milhões de euros, por causa de um vazamento de dados pessoais de mais de 500 mil clientes da empresa.
No Brasil, temos um limite de valor de até R$50 milhões de reais para multas, mas esse não é o pior dos cenários. Outras sanções podem ter impacto equivalente ou até mesmo maior. Imagine a publicidade negativa causada a um projeto que não siga a LGPD corretamente, ou como a proibição total do exercício de atividades relacionadas ao tratamento de dados e/ou a suspensão do funcionamento parcial de um banco de dados pode afetar uma instituição. Isso pode inviabilizar o funcionamento da instituição, que depende do uso desses dados pessoais para funcionar. A possibilidade de encerramento da atividade é ainda mais real se considerarmos empresas cuja atividade comercial é o próprio tratamento de dados. A impossibilidade do uso de dados se equivale a uma sentença de morte para a organização.
Por fim, fica o alerta para você, gestor, que ainda não se atentou para a LGDP e suas implicações. Todas as sanções administrativas previstas na LGPD podem impactar profundamente a sua associação. Por isso, é imprescindível que haja uma adaptação urgente à legislação. Invista em mecanismos de segurança e em uma comunicação assertiva e clara sobre como os dados de seus associados são utilizados. Considere, ao fechar uma parceria, se o seu novo parceiro está atento a essa questão e se preparou para atender a LGPD, como a Associatec. Na dúvida, não deixe de consultar um especialista para fortalecer os eu projeto.