Avaliar a aplicação de sanções prevista na LGPD ainda é algo voltado para a análise comparativa no âmbito LGPD x GDPR, tendo em vista que nossa autoridade regulamentadora, ANPD, ainda está em processo de formatação.

Como nossa lei possui forte inspiração da lei europeia é possível que as diretrizes acerca da aplicação das multas e outras sanções também busquem inspiração no cenário europeu. Até o momento são previstos apenas alguns pontos que deverão ser observados para a avaliação das punições, mas as metodologias e valor-base serão apresentadas em momento futuro pela ANPD, conforme exposto no art. 53, §1º da LGPD.

Sanções previstas na LGPD

Nossa lei prevê ao todo 6 tipos de sanções para infrações à lei, sendo elas:

  1. Advertência;
  2. Multa de até R$50.000.000,00 por infração;
  3. Multa diária;
  4. Divulgação da infração ao público;
  5. Bloqueio dos dados pessoais relativos à infração;
  6. Eliminação dos dados pessoais relativos à infração.

Apesar do alto valor da multa, entendemos que os danos financeiros oriundos de uma interrupção nas atividades em decorrência do bloqueio dos dados pessoais ou sua eliminação, e os fortes danos à imagem da empresa por conta de uma divulgação da infração podem apresentar um impacto mais significativo para a empresa.

Contudo, qualquer tipo de punição antes de ser aplicada deverá respeitar um procedimento administrativo que garanta a ampla defesa e observe o impacto da infração, quais medidas foram tomadas para evitar e combater o evento, o poder econômico do infrator, sua cooperação com a agência e vários outros elementos que servirão para a autoridade no momento de decidir se a empresa deve ou não ser punida

Critérios para aplicação de sanções da LGPD

Como havíamos falado, nossa agência ainda não disponibilizou nenhuma informação sobre como será o processo avaliativo, mas a LGPD já nos apresenta os principais elementos que a ANPD irá levar em consideração ao elaborar a metodologia de avaliação e aplicação de punições, sendo onze ao todo.

  • O impacto do incidente e quais dados ele afeta;
  • Se existe boa-fé por parte da empresa no tratamento dos dados;
  • O que motivou a empresa a tratar os dados;
  • O poder econômico da empresa;
  • Se a empresa é ou não reincidente;
  • Qual o dano gerado;
  • Cooperação com a ANPD e com os usuários
  • O desenvolvimento e aplicação de medidas tecnológicas e organizacionais que auxiliem na prevenção do dano;
  • Políticas de boas práticas e governança;
  • Adoção de medidas corretivas;
  • A proporcionalidade entre a gravidade da falta e a intensidade da sanção.

Entendo que a ANPD irá exigir das empresas a comprovação que agiu através dos melhores meios tecnológicos existentes no mercado, não realizou nenhum tipo de tratamento não especificado ao titular e não agiu de forma abusiva.

Assim, é muito importante que as empresas para estarem seguras devem possuir mecanismos que possam comprovar, por histórico de registros, todas as ações tomadas dentro dos tratamentos de dados e criar processos que abarquem a segurança e proteção de dados pessoais

Exemplos de sanções aplicadas no GDPR

British Airways – multada em 183 milhões de libras em julho de 2019

A multa aplicada pela autoridade inglesa, ICO, ocorreu após a denúncia de que quinhentos mil usuários da companhia teriam sido vítimas de fraudes ao serem desviados do site da aérea para outro que estava realizando a coleta de dados pessoais como nome, endereço, dados bancários e outros.

A causa do elevado valor foi o altíssimo impacto causado aos usuários em decorrência dos fracos acordos firmados entre a companhia e serviços de segurança.

Esse evento demonstra a importância na revisão dos contratos de serviços e produtos de segurança, bem como os acordos de atendimento firmados e quais mecanismos de segurança são aplicados.

Marriott International – multada em 99 milhões de libras em julho de 2019

Após o vazamento de cerca de 339 milhões de registros de hospedes, a ICO aplicou a multa contra o grupo hoteleiro em decorrência de uma falha de segurança de um sistema de outro grupo de hotéis adquiridos pela empresa.

Assim, ao realizar a aquisição do grupo hoteleiro Starwood e não realizar a revisão dos sistemas de segurança e outras diligências necessárias para garantir a segurança dos usuários a Marriott sofreu a sanção de 99 milhões de libras.

Bounty – multado em 400 mil libras em abril de 2019

A multa em questão ocorreu devido à falta de informações claras aos usuários de como, quando e para quem os dados pessoais fornecidos seriam transferidos, o que demonstra como as leis de privacidade se importam com a transparência da relação empresa e titular de dados.

André Vieira Grochowski
DPO Portnet Tecnologia

Comments