Nunca é demais relembrar que a Autoridade Nacional de Proteção de Dados, a ANPD, poderá impor penalidades à Empresa infratora em casos de descumprimento da lei e ocorrência de incidentes de segurança que envolvam dados pessoais, os quais a empresa deveria zelar e proteger. O Art. 52 da LGPD prevê:

I – advertência, com indicação de prazo para adoção de medidas corretivas;

II – multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;

III – multa diária, observado o limite total a que se refere o inciso II;

IV – publicização da infração após devidamente apurada e confirmada a sua ocorrência;

V – bloqueio dos dados pessoais a que se refere a infração até a sua regularização;

VI – eliminação dos dados pessoais a que se refere a infração;

(…)

X – suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;

XI – suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período;

XII – proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.

Quanto maior o atraso, maior será a queda:

Diante desse cenário, é importante ressaltar que conforme determina o Art. 53, a aplicação pela ANPD do quantum da penalidade da LGPD ou multa deverá observar os seguintes parâmetros e critérios:

I – a gravidade e a natureza das infrações e dos direitos pessoais afetados;

II – a boa-fé do infrator;

III – a vantagem auferida ou pretendida pelo infrator;

IV – a condição econômica do infrator;

V – a reincidência;

VI – o grau do dano;

VII – a cooperação do infrator;

VIII – a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados, em consonância com o disposto no inciso II do § 2º do art. 48 desta Lei;

IX – a adoção de política de boas práticas e governança;

X – a pronta adoção de medidas corretivas; e

XI – a proporcionalidade entre a gravidade da falta e a intensidade da sanção.

Mostra-se então, evidente que a empresa que conta com um programa efetivo de proteção de dados terá sua punição diminuta em relação a um cenário em que, não estabeleceu procedimento algum para garantir a proteção dos dados pessoais sob sua responsabilidade.

Mas, ainda que paire uma incerteza sobre o início de vigência, certo é, as penalidades da LGPD somente poderão ser aplicadas a partir de 01 de agosto de 2021.

Então, não precisamos nos adequar antes dessa data, pois inexiste punição pelo descumprimento da lei? MUITO A APRENDER VOCÊ TEM, JOVEM PADAWAN!!!!

Esqueceu das outras responsabilidades, Padawan?

Ainda que inexista (até 01 de agosto de 2021) a possibilidade de aplicação de penalidades pela ANPD nos termos da LGPD, a Empresa exerce responsabilidade pelos dados que deve proteger! A Constituição Federal de 1988, O Código de Defesa do Consumidor, o Marco Civil da Internet, por exemplo, são leis que protegem o cidadão, consumidor, titular de dados, de situações relacionadas à sua Privacidade e Proteção de seus Dados Pessoais! Então vejamos!

Em caso de incidentes de segurança com dados pessoais, o titular de dados pode, amparado pelo Código de Defesa do Consumidor, manejar ação judicial cível para buscar reparação de danos morais e patrimoniais!

Em caso de incidentes de segurança com dados pessoais, o Ministério Público pode mover ação civil pública contra a empresa visando a proteção dos direitos coletivos. Fato similar ocorreu no caso de riscos aos direitos fundamentais dos titulares de dados, como aconteceu em ação civil pública promovida pelo Ministério Público do Distrito Federal e Territórios, por sua Unidade Especial de Proteção de Dados e Inteligência Artificial contra uma grande empresa de Telefonia no país.

Em caso de incidentes de segurança com dados pessoais, as diversas instituições de defesa dos cidadãos, especializadas em proteção de dados, também podem mover ação civil pública contra as empresas. Tal fato já não é novidade como ocorreu recentemente, em ação civil pública contra uma grande empresa de Cosméticos que teve os dados de seus consumidores disponibilizados indevidamente na internet.

Se já não bastasse a possibilidade da empresa responder na justiça pela falha na segurança dos dados pessoais, existe um dano maior, o dano à imagem!

Em caso de incidentes de segurança com dados pessoais, a imagem da empresa fica vinculada a um fato negativo que se perpetua na internet!

Notícias de incidentes de segurança viajam muito rápido atualmente. Os danos à reputação da empresa podem estar fora de seu controle e podem causar enormes danos à imagem da empresa, além de refletir perdas monetárias, questões legais, vantagens para um concorrente, abalo na reputação, perda de negócios, oportunidades e credibilidade!

As boas práticas devo conhecer para não sofrer:

Não só o Brasil, mas o mundo despertou para a importância da segurança dos dados pessoais! Os Incidentes de segurança recebem muita atenção da mídia e os direitos dos titulares de dados vem sendo consolidados com a legislação vigente. O poder da informação se torna, a cada dia, muito forte diante da acessibilidade de um alto volume de pessoas aos meios digitais. No mesmo sentido, até fornecedores exigem transparência e conformidade com as normas vigentes e as boas práticas de segurança, pois a responsabilidade pelo tratamento dos dados é solidária nos termos da LGPD.

Por tudo apresentado, as boas práticas de segurança e também as melhores práticas de segurança da informação precisam ser incorporadas no dia a dia da organização e ao mesmo tempo, as empresas devem implementar um programa de adequação da empresa à LGPD e garantir a Privacidade e Proteção dos Dados Pessoais! É necessário um foco na prevenção!