Neste artigo, respondemos as perguntas que você pode ter em relação às sanções da LGPD e mostramos 6 formas de amenizá-las.
Quais os objetivos da lgpd?
A Lei Geral de Proteção de Dados (LGPD) rege o processamento de dados pessoais no Brasil. Os objetivos da LGPD são múltiplos: fortalecer os direitos dos indivíduos, capacitar os atores que processam dados e fortalecer a cooperação entre as autoridades nacionais de proteção de dados. Uma proteção bem-vinda, em um momento em que o digital é um fator dominante.
Mas o que acontece em caso de descumprimento da LGPD? Quais sanções podem ser impostas aos responsáveis pelo tratamento de dados que não cumpram as suas disposições? Existem formas de amenizar isso?
quais são as sanções da LGPD e quando entraram em vigor?
A Lei Geral de Proteção de Dados (Lei nº. 13.709/2018) está em vigor desde setembro de 2020 e a partir deste mês – agosto de 2021 – as punições previstas no artigo 52 poderão ser aplicadas. Essas sanções vão desde uma simples advertência até a necessidade de tornar públicos os eventos de violação da legislação. Estas infrações causam danos reputacionais muitas vezes irreversíveis, e, inclusive, a aplicação de multas que podem atingir 2% do faturamento do último exercício financeiro a PJ, do grupo econômico ou conglomerado no Brasil.
Essas sanções ficaram suspensas por quase um ano para que as empresas tivessem tempo de se adequarem às necessidades da legislação. Acontece que muitas empresas ainda não realizaram medidas mínimas para garantir a conformidade com essa – não tão nova – legislação e as sanções previstas na lei já começam a bater na porta.
Incidentes de segurança ou de violação de dados pessoais podem acontecer com qualquer empresa, desde as mais preparadas até as menos preparadas. O que diferencia os incidentes acontecidos entre cada uma delas e, especialmente, as consequências decorrentes, é o nível de preparo para lidar com as consequências diretas e, também, a intensidade da punição que poderá ser aplicada pela Autoridade Nacional de Proteção de Dados.
Como amenizar eventuais punições da LGPD?
A legislação é clara ao estabelecer que toda punição, antes de ser aplicada, deve seguir alguns procedimentos específicos. Os agentes de tratamento devem passar por processos administrativos ou judiciais que garantam a oportunidade de defesa e as punições devem ser aplicadas, analisando uma série de critérios específicos. Alguns desses critérios não podem ser controlados pelos empreendedores, mas outros sim e, inclusive, podem ajudar a amenizar eventuais punições.
Este artigo serve, portanto, para que você saiba o que está ao seu alcance para fazer antes e/ou depois de incidentes envolvendo dados pessoais, com o objetivo de amenizar as sanções aplicadas pela Autoridade à sua organização, minimizando, também, os riscos aos titulares de dados pessoais.
O QUE PODE SER FEITO ANTES DE EVENTUAIS INCIDENTES
1. Estabeleça mecanismos para garantir os direitos dos titulares
Em primeiro lugar, é preciso evitar atividades que, de alguma forma, tenham o potencial de causar algum tipo de prejuízo aos direitos e liberdades das pessoas com as quais a sua empresa interage. Isso envolve, por exemplo, não coletar dados de saúde, de opinião política ou até mesmo de religiosa para criação de perfis comportamentais para direcionamento de marketing.
Além disso, é importante estabelecer mecanismos que permitam que as pessoas que têm suas informações coletadas e utilizadas para finalidades específicas possam acessar esses dados e exercer os demais direitos previstos na LGPD.
2. Adotar mecanismos e procedimentos de minimização de danos
Adotar medidas técnicas, tecnológicas e, também organizacionais, ajudam a garantir que o tratamento de dados aconteça da forma mais segura e adequada possível. Da mesma forma, estabelecer mecanismos de segurança da informação, adotar perfis com permissão de acesso a informações de acordo com a necessidade, guardar documentos importantes em locais seguros, com chaves e outras formas de garantia de segurança podem ajudar a minimizar danos.
3. Política de boas práticas e governança
A política de boas práticas abrange, principalmente, a implementação de Programas de Governança em Privacidade e Proteção de Dados Pessoais (PGPD). Esse programa, por sua vez, inclui:
- criação de estruturas vivas;
- desenvolvimento de políticas de privacidade;
- treinamento de colaboradores;
- definição de fluxos de recebimento de demandas de titulares e de agentes fiscalizadores;
- cultura forte voltada à garantia da privacidade e proteção de dados pessoais.
O QUE PODE SER FEITO DEPOIS DE UM INCIDENTE ENVOLVENDO DADOS PESSOAIS
1. Cooperação e boa fé do infrator
Tanto com a autoridade nacional de proteção de dados no momento das investigações e procedimentos de análise do incidente ocorrido, quanto com os próprios titulares de dados pessoais, em quesitos relacionados à transparência e auxílio à mitigação de danos aos direitos e liberdades civis. É importante se colocar à disposição e demonstrar verdadeira preocupação na resolução dos problemas.
2. Pronta adoção de medidas
É importante adotar medidas técnicas e organizacionais para evitar que o incidente cause maiores danos do que os já mapeados e, inclusive, sempre que possível, medidas que visem reverter os danos decorrentes do problema ocorrido.
3. Evitar reincidência
Após ocorrido algum incidente, adotar estratégias para tentar entender onde houve o erro ou a vulnerabilidade que causou o incidente e desenvolver planos de ação para que novos erros, similares ao ocorrido, não voltem a acontecer na organização.
Como vimos até aqui, a conformidade com a LGPD é um aspecto importante para as empresas. Para evitar cometer erros, considere ter um advogado especializado para acompanhá-lo.