As sanções LGPD (Lei Geral de Proteção de Dados) começaram a ser aplicadas em agosto de 2021. O objetivo é punir as pessoas físicas ou jurídicas que desrespeitam as regras legais de proteção e tratamento de dados pessoais. Pouco tempo após sua aprovação, a GDPR (General Data Protection Regulation) – legislação que estabelece regras de privacidade e proteção de dados da União Europeia – aplicou mais de 114 milhões de euros (equivalente a 525 milhões de reais) em multas.
Para não pagarem multas e sofrerem prejuízos financeiros, as empresas precisam seguir de perto as regras estabelecidas pela LGPD. Neste artigo, explicaremos o que são e os tipos de sanções LGPD. Falaremos também sobre os princípios dessa legislação. Acompanhe os próximos tópicos!
O que são sanções?
As sanções administrativas e multas aplicáveis por desrespeito às regras para o tratamento de dados estão nos artigos 52, 53 e 54 da LGPD. Na prática, é a Autoridade Nacional de Proteção de Dados (ANPD) que aplica as penalidades. Por meio delas, esse órgão fiscalizador tenta garantir a proteção dos direitos fundamentais de liberdade, privacidade e livre desenvolvimento da personalidade dos indivíduos.
Como parâmetro, as sanções impostas pela LGDP seguem as estabelecidas pela GDPR. Essa última determina, por exemplo, que o valor da multa pode chegar a 20 milhões de euros ou até 4% do faturamento global da empresa – o que for maior. Já no caso da LGPD, o teto da quantia é de 50 milhões de reais ou 2% do faturamento – o que for maior.
Princípios da LGPD
As pessoas físicas ou jurídicas que não desejam sofrer sanções LGPD, precisam se apegar aos 10 princípios listados no artigo 6 da legislação. A seguir, explicamos sobre cada um deles.
Finalidade
Esse princípio exige que os que lidam com dados pessoais deixem claro as suas intenções aos titulares. Isso significa que é preciso justificar e apontar as razões para a utilização de determinadas informações. Feito isso, a organização não pode fugir dessas finalidades. Por exemplo, se a empresa solicita o endereço de e-mail de um cliente apenas para cadastro, não é permitido o envio de ofertas e promoções.
Adequação
Quanto à adequação, a LGPD determina que as organizações expliquem e garantam que os dados coletados tenham importância e sejam alinhados com o modelo de negócio. Para exemplificar, digamos que uma academia solicite dados sobre a religião ou posicionamento político dos clientes. Isso seria um desrespeito ao princípio da adequação, por não ser necessário esse tipo de dado para o funcionamento da academia.
Necessidade
De acordo com a LGPD, o princípio da necessidade envolve a limitação do tratamento de dados ao mínimo possível. Quando a empresa segue essa orientação, gerencia apenas os dados essenciais para o desenvolvimento do negócio e o relacionamento com os clientes. Sendo assim, são eliminados qualquer excesso no uso de informações pessoais.
Livre acesso
O princípio do livre acesso confere a garantia de que os titulares terão conhecimento de como os seus dados são utilizados pelas empresas. Para isso, as organizações precisam facilitar a consulta, bem como deixar evidente os objetivos, período e descarte dos dados coletados.
Qualidade de dados
A LGPD explica o princípio da qualidade de dados como a garantia de exatidão, relevância, clareza e atualização das informações dos titulares, segundo necessidade específica e para o cumprir a finalidade do tratamento estabelecido. Em outras palavras, a legislação quer dizer que a base de dados deve ser verdadeira, atualizada e alinhada com o propósito da organização.
Transparência
Esse princípio exige que os titulares tenham acesso a informações precisas, claras e facilmente acessíveis a respeito de como será o tratamento dos dados pessoais. Trocando em miúdos, as organizações que respeitam a transparência são honestas com os proprietários dos dados e revelam até mesmo o envolvimento de outras empresas no processo de manipulação das informações coletadas.
Segurança
Em tempos de ataques virtuais, criminosos e vazamentos de dados, o princípio da segurança é de suma importância. Ao aplicá-lo, as empresas adotam tecnologias, soluções, procedimentos e técnicas que geram proteção contra acidentes, perdas, alterações ou roubos de informações pessoais.
Prevenção
Segundo a LGPD, os operadores de dados precisam implantar medidas preventivas para impedir danos ou problemas durante o tratamento das informações pessoais. Fazendo assim, as empresas têm uma menor probabilidade de sofrer sanções LGPD, processos judiciais vindos de pessoas que tiverem seus dados vazados ou roubados enquanto tratados pela organização.
Não discriminação
Outro princípio importante da LGPD é a não discriminação no tratamento de dados pessoais. Isso significa que as informações não podem ser utilizadas para fins abusivos ou preconceituosos. Nesse conjunto de dados, estão os considerados sensíveis, como: origem racial, convicção religiosa, orientação sexual etc.
Como exemplo de uso de dados pessoais para fins discriminatórios, podemos apontar a reprovação de candidatos em processos seletivos por causa de convicções políticas. Mesmo preenchendo todas as qualificações e habilidades necessárias para exercer a função vaga.
Responsabilização e prestação de contas
Esse princípio é a demonstração e adoção de soluções eficazes, bem como a comprovação de que a empresa cumpre as normas estabelecidas pela LGPD. Isso significa que foram tomadas providências para garantir a proteção de dados. Para evidenciar essa atitude, a organização pode publicar no site corporativo, as regras da política interna de segurança e proteção de dados.
Quer aprofundar mais os seus conhecimentos sobre a LGPD? Então, leia agora mesmo o artigo “Bases legais LGPD: conheça as principais!”
Sanções LGPD: quais são?
Como dito no tópico anterior, a ANPD é a entidade responsável pela aplicação das sanções LGPD. Existem vários tipos de sanções administrativas, como: admoestativa, pecuniária e restritiva. Destrinchando melhor as sanções LGPD, o artigo 52 prevê:
- advertência, com indicação de prazo para adoção de medidas corretivas;
- multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
- multa diária, observado o limite total a que se refere o inciso II;
- publicização da infração após devidamente apurada e confirmada a sua ocorrência;
- bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
- eliminação dos dados pessoais a que se refere a infração;
- suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;
- suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período;
- proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
Para fugir das penalidades impostas pela LGPD, nada melhor do que conhecer as suas regras. Aproveite para ler o artigo “LGPD na prática: como adequar sua empresa?”
Conheça o curso de Introdução à Proteção de Dados da Doutorize!
A Doutorize é uma instituição renomada, inovadora e diferenciada. Nosso método de ensino é baseado em conteúdos especializados lecionados por profissionais das áreas de tecnologia e segurança da informação, aspectos legais, governança e compliance no tratamento de dados pessoais.
Toda essa estrutura de ensino é embasada nos seguintes valores:
- Educação de alta qualidade;
- Aprendizado e evolução;
- Transformação de vidas.
Um dos cursos disponibilizados é Introdução à Proteção de Dados (LGPD). Nele, o aluno aprende:
- Os princípios e regras básicas da Lei Geral de Proteção de Dados;
- Funcionamento da carreira de Data Protection Officer (DPO);
- Requisitos e exigências para se tornar um DPO.
Conheça melhor a grade curricular e outras informações sobre o curso Introdução à Proteção de Dados (LGPD).
Torne-se um DPO com a Doutorize!
Os profissionais que desejam ser responsáveis para proteção de dados de grandes empresas, podem alcançar esse objetivo por meio do curso Data Protection Officer da Doutorize! São 56 horas de atividades on-line que são distribuídas em três módulos:
- ISFS – Information Security;
- PDPF – Privacy and Data Protection Foundation;
- PDPP – Privacy and Data Protection Practitioner.
Além dos módulos, há também um projeto prático e simulados para uma melhor imersão nos conhecimentos. No final, o aluno aprende:
Aspectos básicos de segurança da informação e a demandar de sua equipe os princípios de segurança baseados no ISO 27001;
- Princípios legais com base na GDPR:
- Boas práticas de privacidade e proteção de dados que são referência para o mundo;
- Habilidades práticas de proteção de dados em exercícios de aplicação.
Descubra outras informações sobre o curso Data Protection Officer e faça a sua inscrição!
Gostou de conhecer as sanções LGPD? Quer aumentar os seus conhecimentos por meio de conteúdos relevantes e especializados? Então, confira os artigos publicados no blog da Doutorize!
