Se compararmos com a União Europeia, onde vigora o Regulamento Geral de Proteção de Dados – RGPD, que serviu de base para a nossa LGPD, percebemos um cenário muito evoluído, com esquema das Autoridades Supervisoras para cada estado membro, além de ampla organização nas próprias sanções. Da forma como acontece na União Europeia, cria-se um ambiente mais justo e respeitoso com o tratamento de dados pessoais, uma vez que, de acordo com a lei, é dever das empresas e das instituições manter as informações de seus clientes seguras, além da ética no uso desses dados. Imagino que este seja o nosso próximo passo no Brasil, conseguir ampliar a disseminação da importância que devemos ter com os nossos dados e as regras que as empresas, públicas ou privadas, devem seguir.
Ao final de junho, havia 1400 decisões judiciais citando a LGPD. Esse número de condenações e ressarcimentos são referentes às esferas trabalhistas e de consumo. Porém, veremos no próximo mês de outubro, a primeira multa por não atendimento da LGPD por parte da Autoridade Nacional de Proteção de Dados – ANPD, órgão federal responsável por fiscalizar e aplicar essa Lei. Essa é a expectativa nos bastidores.
A ANPD aguarda a publicação de uma portaria com a metodologia de cálculo de multas para começar a aplicá-las, o que deve ocorrer até o final de setembro, sendo que as penalidades passarão a ser executadas a partir de outubro. Enquanto isso, os processos administrativos que investigam infrações continuam sendo conduzidos.
Toda e qualquer empresa deverá desenvolver o seu próprio programa de privacidade, compliance a LGPD. A melhor forma de se defender em uma investigação é ter evidências suficientes. É de extrema importância ter o apoio de um especialista multidisciplinar que conheça muito bem a LGPD, e também consiga navegar nas esferas de processos de governança, tecnologia e jurídico para que veja todas as características e particularidades da empresa perante a Lei.
No caso de critérios para aplicação de sanções, serão avaliados os danos e a gravidade ao titular, além das medidas técnicas e administrativas desenvolvidas pelas empresas. Em caso de reincidência será considerado um agravante perante a pena a ser aplicada. A ANPD espera que as empresas invistam em proteção de dados e consigam dar segurança aos titulares.
Outra questão ressaltada: diferentes sanções podem ser aplicadas simultaneamente para a mesma empresa. Cada sanção é direcionada para cada infração cometida, dessa forma, uma empresa poderá sofrer um ataque hacker e ao mesmo tempo receber uma denúncia sobre a falta de transparência em sua política de privacidade. Nestes dois casos pode haver processos, investigações e sanções distintas.
Se ocorrer algum vazamento ou acesso indevido a dados pessoais, é de extrema importância que, além do protocolo técnico para cessar o incidente, também seja estabelecida uma linha de comunicação sobre o incidente à autoridade em um prazo recomendado de 48 horas úteis. Esse procedimento é feito via Sistema Eletrônico de Informações – SEI (Presidência da República), onde cabe ao Data Protection Officer (DPO) interagir de forma eletrônica com a ANPD. Se a empresa em questão receber uma denúncia feita por um titular na ANPD, a própria autoridade entrará em contato para solicitar mais informações e evidências referentes ao tratamento de dados pessoais.
A ANPD seguirá os trâmites de procedimentos administrativos, ou seja, para cada solicitação de evidência, o prazo máximo para interação é de 30 dias contados. Existe uma expectativa que a ANPD libere ainda em agosto uma norma referente à dosimetria de aplicação das sanções.
Com relação aos valores das multas, a variação será, muito provavelmente, sobre a gravidade e dano que possam ocorrer aos direitos fundamentais dos titulares envolvidos. O teto será de 2% do faturamento do ano anterior, mas a autoridade poderá extrapolar o teto previsto com base no risco associado, conforme afirma o especialista.
Não acredito em indústria da multa, até pela seriedade característica da ANPD, mas também sabemos que será necessário se balizar pelo impacto financeiro, afinal, essa será uma forma de obrigar as empresas a estar em conformidade com a Lei. Um cenário que acredito será o grande volume de investigações em decorrência dos ataques cibernéticos ou falta de atendimento aos princípios da LGPD.
Por Sylvio Sobreira Vieira, fundador e CEO da SVX Corporate e especialista em governança, gerenciamento, privacidade e proteção de dados, com especialização pela University of Pennsylvania em Privacy Law and Data Protection.
As punições para quem errar com o IBS e a CBS
Saiba como usar a ferramenta automatizada pelo computador ou celular e confira quem está obrigado…
Texto aprovado em dois turnos prevê redução gradual da jornada em até 14 meses e…
Quem aderiu à modalidade de saque-aniversário ou foi demitido sem justa causa entre 2020 e…
A segurança digital se tornou um dos assuntos mais relevantes dentro do ambiente financeiro online.…
Regra permite que o mesmo dependente conste em duas declarações no ano de transição, mas…