Penalidades por violação à Lei de Proteção de Dados já podem ser aplicadas: Como se adequar?
Início
No dia 27 de fevereiro foi publicado pela Autoridade Nacional de Proteção de Dados Pessoais o regulamento de dosimetria e aplicação de sanções administrativas. O regulamento estabelece quais os critérios serão analisados e considerados para aplicação de penas para aqueles que estiverem realizando tratamento irregular de dados pessoais.
Processo fiscalizatório
A Autoridade Nacional já havia estabelecido o processo administrativo e fiscalizatório, que prevê os processos ligados a autuação e produção de provas diante de uma denúncia ligada a tratamento irregular de dados.
Penalidades
A partir de agora, as penalidades previstas na LGPD já podem ser aplicadas às empresas e pessoas que façam tratamento de dados irregular. As multas podem chegar a R$ 50 milhões de reais, porém, como é sabido, com o regulamento de dosimetria, critérios transparentes são avaliados, antes que se aplique penalidades mais severas. A penas previstas são: Advertência; Multa simples, de até 2% do faturamento da empresa, limitada, no total, a R$ 50 milhões, por infração; Multa diária; Publicização da infração; Bloqueio dos dados pessoais; Eliminação dos dados pessoais; Suspensão parcial do funcionamento do banco de dados por no máximo de seis meses, prorrogável por igual período, até que se regularize a situação; Suspensão do exercício da atividade de tratamento dos dados pessoais por no máximo de seis meses, prorrogável por igual período; Proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados. As penalidades também se aplicam a órgãos públicos, menos a de multa. As multas devem ser pagas até 20 dias após a notificação. As alíquotas são definidas de acordo com a natureza da infração, que pode ser leve, grave ou média.
Sem desculpas!
Não existem desculpas para que aqueles que não se adequaram. A Lei 13.709 é de 2018 e negócios tiveram um bom tempo para adequação até a aplicação da norma. Mais que isso, como faltavam os regulamentos, mais tempo foi concedido às empresas e negócios que tratam dados pessoais. Ao que parece, muitos negócios, de forma desavisada, acabaram por relaxarem em relação ao compliance, sobretudo diante da demora na fiscalização e regulamento de aplicação de penas. Acreditavam que “não ia dar em nada”. Mas este cenário mudou.
PROCON
Apesar de agora a Autoridade Nacional de Proteção de Dados ter tudo que precisa para fiscalizar e aplicar multas, os PROCONS de diversos estados, na proteção ao direito do consumidor, já atuam de forma incisiva e no recebimento de denúncias por violação a dados pessoais. Inúmeras empresas no Brasil já receberam penalidades altíssimas, por não respeitarem a Lei Geral de Proteção de Dados, e não criarem um sistema de gestão que demonstre conformidade.
ANPD começa julgar casos
Como o regulamento de dosimetria, a entidade começará julgar o estoque de processos. A ANPD já recebeu cerca de 7 mil denúncias e tem oito processos sancionadores e que irá apreciar. Na maioria das denúncias, pedidos de dados excessivos pelos e-commerces ou venda de dados pessoais.
Justiça também se movimenta
Independentemente, o Judiciário Brasileiro já conta com inúmeros processos ligados à violações de dados pessoais. Farmácias, bancos, prefeituras e outros figuram como Requeridos. No site da Associação Nacional de Profissionais de Privacidade de Dados é possível ver este radar.
Como denunciar
No site da ANPD é possível ainda fazer uma petição contra o controlador de dados (agente de tratamento), denunciar o descumprimento da LGPD ou comunicar incidentes de segurança. O site é https://www.gov.br/anpd/pt-br
Momento impulsiona PrivacyTechs
Diante da aplicação das penalidades, começou a corrida da adequação e isso tem motivado a criação de inúmeras PrivacyTechs, startups do ramo de tecnologia. Se a empresa realiza tratamento de dados pessoais, deve iniciar a adequação. O https://privacyoffice.com.br/ é uma startup interessante, que modulariza a adequação em áreas: a) Compliance, para empresas pouco maduras ou que não iniciaram o tratamento, b) Auditoria e Perícia, para negócios que precisam auditar controles implementados e efetividade do programa de proteção de dados, c) DPO as a service e time de resposta a incidentes, para empresas que querem terceirizar o encarregado de proteção de dados e a resposta a incidentes e d) Educação, que são treinamentos e palestras de conscientização. O site da Startup é https://privacyoffice.com.br/
Tome ciência!
O processo de fiscalização pode ser consultado em https://www.gov.br/anpd/pt-br/documentos-e-publicacoes/regulamentacoes-da-anpd/resolucao-cd-anpd-no1-2021 e o regulamento de dosimetria em https://www.in.gov.br/en/web/dou/-/resolucao-cd/anpd-n-4-de-24-de-fevereiro-de-2023-466146077
No dia 27 de fevereiro foi publicado pela Autoridade Nacional de Proteção de Dados Pessoais o regulamento de dosimetria e aplicação de sanções administrativas. O regulamento estabelece quais os critérios serão analisados e considerados para aplicação de penas para aqueles que estiverem realizando tratamento irregular de dados pessoais.
Processo fiscalizatório
A Autoridade Nacional já havia estabelecido o processo administrativo e fiscalizatório, que prevê os processos ligados a autuação e produção de provas diante de uma denúncia ligada a tratamento irregular de dados.
Penalidades
A partir de agora, as penalidades previstas na LGPD já podem ser aplicadas às empresas e pessoas que façam tratamento de dados irregular. As multas podem chegar a R$ 50 milhões de reais, porém, como é sabido, com o regulamento de dosimetria, critérios transparentes são avaliados, antes que se aplique penalidades mais severas. A penas previstas são: Advertência; Multa simples, de até 2% do faturamento da empresa, limitada, no total, a R$ 50 milhões, por infração; Multa diária; Publicização da infração; Bloqueio dos dados pessoais; Eliminação dos dados pessoais; Suspensão parcial do funcionamento do banco de dados por no máximo de seis meses, prorrogável por igual período, até que se regularize a situação; Suspensão do exercício da atividade de tratamento dos dados pessoais por no máximo de seis meses, prorrogável por igual período; Proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados. As penalidades também se aplicam a órgãos públicos, menos a de multa. As multas devem ser pagas até 20 dias após a notificação. As alíquotas são definidas de acordo com a natureza da infração, que pode ser leve, grave ou média.
Sem desculpas!
Não existem desculpas para que aqueles que não se adequaram. A Lei 13.709 é de 2018 e negócios tiveram um bom tempo para adequação até a aplicação da norma. Mais que isso, como faltavam os regulamentos, mais tempo foi concedido às empresas e negócios que tratam dados pessoais. Ao que parece, muitos negócios, de forma desavisada, acabaram por relaxarem em relação ao compliance, sobretudo diante da demora na fiscalização e regulamento de aplicação de penas. Acreditavam que “não ia dar em nada”. Mas este cenário mudou.
PROCON
Apesar de agora a Autoridade Nacional de Proteção de Dados ter tudo que precisa para fiscalizar e aplicar multas, os PROCONS de diversos estados, na proteção ao direito do consumidor, já atuam de forma incisiva e no recebimento de denúncias por violação a dados pessoais. Inúmeras empresas no Brasil já receberam penalidades altíssimas, por não respeitarem a Lei Geral de Proteção de Dados, e não criarem um sistema de gestão que demonstre conformidade.
ANPD começa julgar casos
Como o regulamento de dosimetria, a entidade começará julgar o estoque de processos. A ANPD já recebeu cerca de 7 mil denúncias e tem oito processos sancionadores e que irá apreciar. Na maioria das denúncias, pedidos de dados excessivos pelos e-commerces ou venda de dados pessoais.
Justiça também se movimenta
Independentemente, o Judiciário Brasileiro já conta com inúmeros processos ligados à violações de dados pessoais. Farmácias, bancos, prefeituras e outros figuram como Requeridos. No site da Associação Nacional de Profissionais de Privacidade de Dados é possível ver este radar.
Como denunciar
No site da ANPD é possível ainda fazer uma petição contra o controlador de dados (agente de tratamento), denunciar o descumprimento da LGPD ou comunicar incidentes de segurança. O site é https://www.gov.br/anpd/pt-br
Momento impulsiona PrivacyTechs
Diante da aplicação das penalidades, começou a corrida da adequação e isso tem motivado a criação de inúmeras PrivacyTechs, startups do ramo de tecnologia. Se a empresa realiza tratamento de dados pessoais, deve iniciar a adequação. O https://privacyoffice.com.br/ é uma startup interessante, que modulariza a adequação em áreas: a) Compliance, para empresas pouco maduras ou que não iniciaram o tratamento, b) Auditoria e Perícia, para negócios que precisam auditar controles implementados e efetividade do programa de proteção de dados, c) DPO as a service e time de resposta a incidentes, para empresas que querem terceirizar o encarregado de proteção de dados e a resposta a incidentes e d) Educação, que são treinamentos e palestras de conscientização. O site da Startup é https://privacyoffice.com.br/
Tome ciência!
O processo de fiscalização pode ser consultado em https://www.gov.br/anpd/pt-br/documentos-e-publicacoes/regulamentacoes-da-anpd/resolucao-cd-anpd-no1-2021 e o regulamento de dosimetria em https://www.in.gov.br/en/web/dou/-/resolucao-cd/anpd-n-4-de-24-de-fevereiro-de-2023-466146077