Quando a Lei 13.709/2018, a Lei Geral de Proteção de Dados foi promulgada em 2018, muito se comentou a respeito dos valores astronômicos das multas previstas em seu texto.

De fato, ao prever as possibilidade de penalidades para os infratores às normas legais, a LGPD fixou um valor para multas que podem ser aplicadas tanto com base no faturamento do grupo empresarial, quanto com base em valores numéricos.

Segundo seu artigo 52, as multas simples podem variar de até 2% (dois por cento) do faturamento da empresa, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração.

O número é bastante expressivo e assustou a muitos empresários, porém não foi argumento de convencimento suficiente para que buscassem suas adequações, pois, a princípio, ainda haveria necessidade de regulamentação da aplicação das penalidades.

Em fevereiro de 2023, contudo, a ANPD regulamentou a aplicação não só das multas, mas de todas as penalidades previstas em lei, de modo que aqueles que não buscaram suas adequações correm risco iminente de penalização.

O Que É a LGPD?

A LGPD ou Lei Geral de Proteção de Dados, é o nome dado à Lei 13.709/2018, aprovada em 14 de Agosto de 2018 e que tem como objetivo dispor sobre a proteção de dados pessoais, bem como regular aspectos dos direitos fundamentais à privacidade e à intimidade descritos no art. 5º da Constituição Federal, em seus incisos X e XI.

A LGPD surgiu em nosso país por iniciativa do Congresso Nacional como evolução e regulamentação da Lei 12.965, de 2014, também conhecida como Marco Civil da Internet, que veio regular o uso e aplicação da internet no Brasil.

Apesar de ter recebido o nome de Lei Geral de Proteção de Dados, a LGPD não se preocupa com todo o qualquer dado, que assim pode ser tido como qualquer informação ou pedaço de informação. 

A LGPD, tem como objeto de regulação o dado pessoal, ou seja, aquela informação que pode identificar ou tornar identificável uma pessoa física.

Essa legislação específica veio regulamentar a utilização de dado pessoal, expressão esta conceituada no artigo 5º, inciso I, da Lei, que descreve dado pessoal como sendo “informação relacionada a pessoa natural identificada ou identificável”.

Além deste conceito, a Lei Geral de Proteção de Dados preocupou-se em conceituar um tipo específico de dado pessoal, a quem escolheu empregar maior nível de proteção em razão de sua natureza, o dado pessoal sensível, que foi assim descrito art. 5º, inciso II: 

“dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.”

Entender a conceituação do objeto de proteção da Lei Geral de Proteção de dados, ou seja, quais dados são protegidos pela LGPD, é essencial para entender o seu objetivo, que, ao contrário do que muitos especularam, não é o de burocratizar a forma como empresas e órgãos públicos tratam dados, mas sim, regular a coleta, utilização, processamento e descarte dos dados das pessoas, que na Lei são nominadas como titulares de dados pessoais.

Se você tem alguma dúvida sobre a LGPD, nossa equipe de especialistas está pronta para esclarecê-las. Não deixe de nos contatar.

Dado Pessoal e a  Lei Geral de Proteção de Dados

Apesar de ter recebido o nome de Lei Geral de Proteção de Dados, a LGPD não se preocupa com todo o qualquer dado, que assim pode ser tido como qualquer informação ou pedaço de informação. 

A LGPD, tem como objeto de regulação o dado pessoal, ou seja, aquela informação que pode identificar ou tornar identificável uma pessoa física.

Essa legislação específica veio regulamentar a utilização de dado pessoal, expressão esta conceituada no artigo 5º, inciso I, da Lei, que descreve dado pessoal como sendo “informação relacionada a pessoa natural identificada ou identificável”.

Além deste conceito, a Lei Geral de Proteção de Dados preocupou-se em conceituar um tipo específico de dado pessoal, a quem escolheu empregar maior nível de proteção em razão de sua natureza, o dado pessoal sensível, que foi assim descrito art. 5º, inciso II: 

“dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.”

Entender a conceituação do objeto de proteção da Lei Geral de Proteção de Dados, ou seja, quais dados são protegidos pela LGPD, é essencial para entender o seu objetivo.

Titular de Dados

O titular de dados nada mais é do que a pessoa natural que pode ser identificada ou identificável através do dado pessoal, ou seja, é a pessoa a quem se refere a informação.

Importante destacarmos que a LGPD, quando definiu quem é o titular de dados deixou muito claro que o titular é a pessoa natural, ou seja, pessoa física, sendo possível concluir que suas normativas não se aplicam a dados de pessoas jurídicas.

Deste modo, quando estamos a falar de CNPJ, razão social, endereço da sede e telefones vinculados a pessoas jurídicas, sejam elas de direito público ou de direito privado, nós não teremos a incidência da LGPD.

Mas sabemos que por trás de toda pessoa jurídica existem pessoas físicas, de modo que os dados pessoais de sócios, acionistas e colaboradores deverão sim ser tratados nos termos do que determina a Lei.

Tratamento de Dados

A LGPD preocupou-se em descrever várias ações, vários verbos para designar o conceito de tratamento de dados pessoais em seu artigo em seu artigo 5º, inciso X, vejamos:

X – tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;

Apesar de ser um conceito muito amplo, que descreve inúmeras atividades que podem ser realizadas com dados pessoais e são consideradas tratamento de dados, este rol não é exaustivo.

Em algumas decisões, tribunais de justiça e a própria a ANPD já consideraram outras ações realizadas com dados pessoais e não descritas neste rol, como atividades de tratamento de dados.

Portanto, vale a máxima: sempre que haja dado pessoal sendo manipulado de alguma forma, mesmo que só uma simples visualização, haverá tratamento de dado pessoal e o processo precisa estar mapeado para verificação de riscos e adequado aos mandamentos legais.

Controlador de Dados

Toda atividade de tratamento de dados possui um dono. Aquela pessoa a quem compete tomar a decisão de iniciá-la e que a conduz, o Controlador de Dados.

De acordo com o artigo 5º, inciso VI, da LGPD, o controlador é a pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais.

As pessoas físicas podem ser controladoras de dados, como nos casos de contratações de funcionários domésticos, de manutenção de contas em redes sociais, administração de grupos e até mesmo de armazenamento de dados no celular pessoal.

Mas a realidade é que as pessoas jurídicas representam a maior parte dos controladores de dados, sejam elas ligadas à iniciativa privada, ao Poder Público ou ao Terceiro Setor.

Ao contrário do que muitos acreditavam no início, a LGPD não se aplica apenas às empresas, mas, conforme conceito trazido pela Lei, também se aplica às ONGs, às entidades do sistema S e às entidades do poder público.

Isso significa dizer que as organizações não governamentais e as fundações, mesmo sem fins lucrativos, devem buscar suas adequações, não havendo qualquer impedimento legal de que sejam penalizadas caso não o façam.

No mesmo sentido devem buscar suas adequações às entidades do Poder Público, em todas as esferas: Secretarias, Ministério e autarquias em âmbito federal, órgãos e governadorias em âmbito estadual e os Municípios e Câmaras Municipais. 

Grande quantidade de nossos dados são confiados ao Poder Público, seja ele municipal, estadual ou federal. 

Desde a unidade de saúde onde buscamos atendimento, a escola estadual onde estudamos ou o SUS ao qual recorremos realizam tratamentos de nossos dados e devem se adequar.

A adequação à LGPD de órgãos públicos, ONGs e fundações não é opcional e em alguns casos pode ser muito complexa, de modo que um assessoramento especializado é indispensável neste momento.

Operador de Dados

Durante a realização de um tratamento de dados, é comum que o controlador de dados, valha-se de auxiliares para a realização das atividades de tratamento. A estas pessoas, físicas ou jurídicas, a LGPD deu o nome de Operador de Dados.

Segunda a Lei, os Operadores de Dados são as pessoas naturais ou jurídicas, de direito público ou privado, que realizam o tratamento de dados pessoais em nome do controlador.

Por meio desse conceito, podemos observar que o Operador de Dados não é o “dono” do processo de tratamento. Ele não toma decisões autônomas sobre como agir, mas sim obedece aos comandos do controlador de dados.

Um bom exemplo traz luz ao conceito: Uma empresa contrata um sistema de gestão de departamento pessoal para controlar o processo de tratamentos de dados relacionados ao contrato de trabalho.

Neste sistema são inseridos os documentos pessoais dos colaboradores, relatórios de pontos, faltas, atestados, salário, bonificações, etc.

O sistema apenas fornece comandos pré-contratados pelo Controlador de Dados (empresa) e é ele quem decide quais ações irá realizar (inserir dados, modificá-los, apagá-los, compartilhá-los com outras empresas por acesso externo, etc.)

O sistema não decide quais medidas serão tomadas, mas apenas armazena os dados e fornece as ferramentas necessárias para a execução das atividades de tratamento. É a perfeita relação de Operador-Controlador de Dados Pessoais.

Pode ser também que os operadores de dados sejam pessoas físicas que são contratadas para a realização de um serviço específico, como no caso de um fotógrafo que fará a cobertura fotográfica de um evento em uma escola.

É dever da escola, ao contratá-lo, estabelecer cláusulas contratuais sobre armazenamento e compartilhamento das imagens e verificar se este fotógrafo oferece condições de segurança enquanto estiver na posse das imagens dos alunos.

O fotógrafo, por sua vez, não possui autorização de compartilhamento destas imagens com terceiros, não possui autorização para divulgação onde bem entender e deverá apagar o material se e quando solicitado pelo titular de dados.

Apesar de ser uma pessoa física, exerce igual papel de operador de dados e não está dispensado de se adequar às normativas da LGPD.

Essa relação entre Operadores e Controladores de Dados exige uma gestão de fornecedores, que deve contemplar desde cláusulas contratuais e auditorias sobre o cumprimento das normas da LGPD para garantir o cumprimento da lei.

Isso porque, o operador que não se adequar à LGPD está sujeito às penalidades da LGPD e, se agir em desacordo com as determinações do controlador, pode ter que se responsabilizar ainda por danos causados aos titulares dos dados compartilhados pelo Controlador de Dados.

Princípios Fundamentos da LGPD

São 10 os princípios mencionados e conceituados na LGPD: 

1. Finalidade;
2. Adequação;
3. Necessidade;
4. Livre acesso;
5. Qualidade dos dados;
6. Transparência;
7. Segurança
8. Prevenção;
9. Não discriminação;
10. Responsabilização e prestação de contas.

Os princípios previstos no artigo 6º da LGPD são a essência para o seu entendimento e precisam ser todos observados para que a organização possa dizer que está fazendo uma boa implementação. 

A recomendação é a de que estes princípios sejam incorporados às rotinas administrativas do agente regulado, com a promoção de uma verdadeira mudança tanto nos processos internos das organizações, como no aspecto cultural nas equipes.

Vejamos cada um deles:

Art. 6º As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios:

I – finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;

II – adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;

III – necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;

IV – livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;

V – qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;

VI – transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;

VII – segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;

VIII – prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;

IX – não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos;

X – responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.

Bases Legais

Outro ponto indispensável para uma boa adequação à LGPD e que está intimamente com o princípio da Legalidade acima apresentado, são as bases legais de tratamento.

Em resumo, uma base legal de tratamento é a justificativa na qual a organização baseia o tratamento de dados realizado. Esta base legal deve guardar fundamentação com a finalidade do tratamento e com a adequação dos dados tratados.

A LGPD descreveu 10 bases legais diferentes nas quais as organizações podem se pautar para tratar dados pessoais comuns, vejamos:

Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:

I – mediante o fornecimento de consentimento pelo titular;

II – para o cumprimento de obrigação legal ou regulatória pelo controlador;

III – pela administração pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres, observadas as disposições do Capítulo IV desta Lei;

IV – para a realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais;

V – quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados;

VI – para o exercício regular de direitos em processo judicial, administrativo ou arbitral, esse último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem) ;

VII – para a proteção da vida ou da incolumidade física do titular ou de terceiro;

VIII – para a tutela da saúde, em procedimento realizado por profissionais da área da saúde ou por entidades sanitárias;

VIII – para a tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária;      

IX – quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecer em direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais; ou

X – para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.

Quando há tratamento de dados sensíveis, entretanto, o número de bases legais onde o tratamento de dados é apoiado é menor, pois, em razão da natureza destes dados, as situações onde podem ser utilizados são menos abrangentes.

Art. 11. O tratamento de dados pessoais sensíveis somente poderá ocorrer nas seguintes hipóteses:

I – quando o titular ou seu responsável legal consentir, de forma específica e destacada, para finalidades específicas;

II – sem fornecimento de consentimento do titular, nas hipóteses em que for indispensável para:

1. a) cumprimento de obrigação legal ou regulatória pelo controlador;
2. b) tratamento compartilhado de dados necessários à execução, pela administração pública, de políticas públicas previstas em leis ou regulamentos;
3. c) realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis;
4. d) exercício regular de direitos, inclusive em contrato e em processo judicial, administrativo e arbitral, este último nos termos da Lei nº 9.307, de 23 de setembro de 1996 (Lei de Arbitragem);
5. e) proteção da vida ou da incolumidade física do titular ou de terceiro;
6. f) tutela da saúde, exclusivamente, em procedimento realizado por profissionais de saúde, serviços de saúde ou autoridade sanitária; 
7. g) garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos, resguardados os direitos mencionados no art. 9º desta Lei e exceto no caso de prevalecer em direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais.

Se um tratamento de dados realizado dentro de uma organização não possui uma base legal que o justifique, ou mesmo, está pautada em uma base legal errada, isso significa que a empresa está mal-adequada a LGPD.

A escolha de uma base legal de tratamento muitas vezes é impositiva, como nos casos de obrigações legais ou regulatórias, entretanto, existem casos de eleição, onde somente por meio de um bom mapeamento de processos é que se pode obter a melhor eleição de base.

Escolher uma base legal não adequada implica em não adequação à LGPD, em razão de violação à legalidade. Deste modo a contratação de assessoria especializada é essencial nesta fase de um Projeto de Adequação.

Direitos dos Titulares

A Lei Geral de Proteção de Dados, garante aos titulares de dados os direitos de: 

1. confirmação da existência de tratamento; 
2. de acesso aos dados; 
3. de correção de dados incompletos, inexatos ou desatualizados; 
4. de anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto nesta Lei; 
5. de portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial; 
6. de eliminação dos dados pessoais tratados com o consentimento do titular, exceto nas hipóteses previstas no art. 16 da Lei; 
7. de informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados; 
8. de informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa; 
9. de revogação do consentimento; 
10. de peticionar em relação aos seus dados contra o controlador perante a autoridade nacional; e, por fim, 
11. De opor-se a tratamento realizado com fundamento em uma das hipóteses de dispensa de consentimento, em caso de descumprimento ao disposto nesta Lei.

Para que tudo isso possa estar em conformidade com a Lei, o recomendado é que os agentes de tratamento implementem medidas técnico-administrativas de segurança da informação em bancos de dados físicos e digitais, bem como de boas práticas, assim tidas como políticas internas, regras de conduta, formalização de processos e construção de documentos que evidenciem e mensurar riscos e medidas de mitigação dos impactos destes riscos.

A sua empresa está preparada para atender aos titulares de dados? Você possui em seu site um canal de comunicação à disposição para que o titular de dados possa exercer os seus direitos? Se não, faça imediatamente! Nós podemos te ajudar.

Quais São as Multas e Penalidades na LGPD?

A Lei Geral de Proteção de dados determina que as infrações à Lei podem ser punidas com: 

I – Advertência, com indicação de prazo para adoção de medidas corretivas;

II – multa simples

III – multa diária, 

IV – publicização da infração após devidamente apurada e confirmada a sua ocorrência;

V – bloqueio dos dados pessoais a que se refere a infração até a sua regularização;

VI – eliminação dos dados pessoais a que se refere a infração;

Essas penalidades administrativas não excluem, contudo, eventuais penalidades advindas de condenações judiciais relativas a danos patrimoniais ou extrapatrimoniais experimentados pelos titulares de dados que comprovadamente sofreram danos em razão de um incidente com seus dados pessoais.

Seja na esfera administrativa, seja na esfera judicial, uma boa defesa pode evitar multas pesadas ou o prejuízo da imagem da sua empresa. Nosso time está preparado para atuar em processos envolvendo incidentes com dados pessoais. Consulte-nos.

Em Que situações as Multas da LGPD Podem ser Aplicadas?

A ANPD aplicará a sanção de multa contra os infratores da Lei Geral de Proteção de Dados quando:

I – o infrator não tenha atendido as medidas preventivas ou corretivas a ele impostas, dentro dos prazos estabelecidos, quando aplicável;

II – a infração for classificada como grave; ou

III – pela natureza da infração, da atividade de tratamento ou dos dados pessoais, e pelas circunstâncias do caso concreto, não for adequado aplicar outra sanção.

A aplicação das multas pela ANPD se assemelha bastante à definição de uma pena para o cometimento de crimes. Primeiro é fixado um valor-base de multa, calculado com base no faturamento do grupo econômico.

Em seguida são verificadas e aplicadas situações atenuantes ou agravantes, conforme dispostas na Resolução nº 04 do Conselho Diretor da Autoridade Nacional de Proteção de Dados, até que se chegue ao valor final da penalização monetária.

Qualquer um pode ser multado?

Qualquer agente de tratamento que infrinja as normativas da Lei Geral de Proteção de Dados e preencha os requisitos estabelecidos no artigo 10 da Resolução nº 04 do Conselho Diretor da Autoridade Nacional de Proteção de Dados pode ser multado.

Neste sentido, é certo que as organizações devem buscar sua adequação à LGPD e evitar ao máximo ser fiscalizadas pela Autoridade Nacional. Porém, existem agendas regulatórias a serem cumpridas pelo órgão e a fiscalização pode ser inevitável.

Portanto, é essencial que, em caso de fiscalização, a organização atenda dentro do prazo às recomendações de adoção de medidas preventivas ou corretivas indicadas pela autoridade fiscalizadora.

Além disso, é importante sempre se atentar ao que é considerado infração grave ou gravíssima pela ANPD. Neste sentido, a infração será considerada grave se estiver conceituada como média e, ainda, tiver em soma outros critérios. Vejamos:

Infração média é aquela afeta significativamente interesses e direitos fundamentais dos titulares de dados pessoais, impedir ou limitar, de maneira significativa, o exercício de direitos ou a utilização de um serviço. 

Também será assim considerada quando ocasionar danos materiais ou morais aos titulares, violação à integridade física, ao direito à imagem e à reputação, fraudes financeiras ou uso indevido de identidade.

Para ser considerada grave, além do conceito acima exposto, a infração deverá também:

1. a) envolver tratamento de dados pessoais em larga escala, caracterizado quando abranger número significativo de titulares, considerando-se, ainda, o volume de dados envolvidos, bem como a duração, a frequência e a extensão geográfica do tratamento realizado; 
2. b) o infrator auferir ou pretender auferir vantagem econômica em decorrência da infração cometida; 
3. c) a infração implicar risco à vida dos titulares; 
4. d) a infração envolver tratamento de dados sensíveis ou de dados pessoais de crianças, de adolescentes ou de idosos; 
5. e) o infrator realizar tratamento de dados pessoais sem amparo em uma das hipóteses legais previstas na LGPD; 
6. f) o infrator realizar tratamento com efeitos discriminatórios ilícitos ou abusivos;
7. g) verificada a adoção sistemática de práticas irregulares pelo infrator; ou
8. h) constituir obstrução à atividade de fiscalização.

Quais os Critérios para a Aplicação de Sanções da LGPD?

De acordo com o que determina o Art. 7º da Resolução nº 04 do Conselho Diretor da Autoridade Nacional de Proteção de Dados, na definição da sanção, devem ser considerados os seguintes parâmetros e critérios: 

I – a gravidade e a natureza das infrações e dos direitos pessoais afetados; 

II – a boa-fé do infrator; 

III – a vantagem auferida ou pretendida pelo infrator; 

IV – a condição econômica do infrator; 

V – a reincidência específica; 

VI – a reincidência genérica; 

VII – o grau do dano; 

VIII – a cooperação do infrator; 

IX – a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados, em consonância com a LGPD; X – a adoção de política de boas práticas e governança; 

XI – a pronta adoção de medidas corretivas; e 

XII – a proporcionalidade entre a gravidade da falta e a intensidade da sanção.

Quem Pode Fiscalizar e Aplicar as Multas da LGPD?

A fiscalização da LGPD, assim como a aplicação das penalidades cabe à Autoridade Nacional de Proteção de Dados.

Ao realizar uma atividade de monitoramento, ou ao receber algum tipo de denúncia, a ANPD poderá iniciar um processo investigatório em face da organização. 

Havendo evidências de irregularidades neste processo investigatório, poderá convertê-lo em Processo Administrativo-Sancionador, onde indicará medidas preventivas ou corretivas para que a organização regularize a situação que está em desacordo com as normativas da LGPD.

Não havendo atendimento às medidas indicadas, serão aplicadas as penalidades de acordo com a classificação da Resolução nº 04 do Conselho Diretor da Autoridade Nacional de Proteção de Dados.

Importante destacarmos que a Autoridade Nacional de Proteção de Dados sempre realizará suas atividades dentro do princípio da legalidade e respeitando os direitos fundamentais de contraditório e ampla defesa.

Isso significa que previamente a qualquer medida sancionadora sempre haverá a abertura e o trâmite de um processo administrativo, que será processado perante a sua Coordenação-Geral de Fiscalização.

Dentro destes processos administrativos, a organização terá oportunidade de apresentar suas defesas, o que recomendamos seja feito por profissional especializado em privacidade e proteção de dados pessoais.

Como evitar multas da LGPD?

Não existe outra maneira de se evitar as multas da LGPD, senão promovendo uma adequação de fato da sua organização. Seja ela pública ou prova, com ou sem fins lucrativos, sua organização deve buscar implementar a LGPD em seus processos.

Em que pese não ser um processo simples, a adequação de uma organização à LGPD, se feita de forma planejada, estrutural e financeiramente, pode trazer grandes benefícios para os processos internos e também para a imagem da organização.

Qual é o Prazo para Adequação?

Sentimos muito em informá-los: o prazo para se adequar terminou em agosto de 2021! Desde então a LGPD tem plena vigência. As organizações que ainda nada fizeram correm risco iminente de serem fiscalizadas e sancionadas.

Mas acalme-se! Tentar implementar a LGPD dentro de uma organização às pressas, sem planejamento e sem um bom plano de ação definitivamente não é o melhor caminho para atender às exigências da LGPD.

Também não é um bom caminho comprar na internet planos prontos, pacotes de documentos e cláusulas contratuais padrão e sistemas que muito prometem mas nada entregam com relação a sua adequação.

O melhor caminho para uma adequação segura à LGPD é a contratação de uma assessoria especializada que identificará as necessidades da organização e elaborará um plano de ação com prazos, escopo e valores adequados ao porte do agente de tratamento.

Um projeto de adequação completo pode levar de 60 dias a até dois anos, em locais mais complexos. Além disso, mesmo após o encerramento das etapas inicialmente planejadas, a LGPD exige a adoção de mapeamento de processos e a adoção de melhorias contínuas.

Além disso, a designação de um Encarregado pela Proteção de Dados Pessoais para a organização, a depender de seu porte, é eterna, pois a obrigação imposta pela lei não se extingue com o tempo.

Cuidados com a Proteção de Dados Pessoais e Cuidados com a Segurança da Informação

Os projetos de adequação à LGPD exigem etapas preparatórias e investigativas antes da implementação de melhorias e avanço na adequação.

Os cuidados com a Proteção de Dados Pessoais começam no entendimento e no mapeamento de como eles são tratados dentro da organização. Após o mapeamento, são classificadas as bases legais de tratamento e os responsáveis pelas atividades.

Na sequência são identificados e auferidos os riscos atrelados aos tratamentos de dados realizados, bem como são verificadas as medidas técnico-administrativas que podem ser implementadas para mitigação dos riscos.

Melhorar a segurança da informação em bancos de dados físicos e digitais, adotar boas práticas, assim como políticas internas e regras de conduta, contribuem para a evolução da adequação.

Mas não é só isso, também é preciso promover dentro da organização um ambiente que propicie a proteção dos dados pessoais, instituindo programas de treinamento dos colaboradores sobre o tema.

Por fim, a organização precisa estar preparada para atender aos titulares de dados, disponibilizando um canal de comunicação à disposição para que o titular de dados possa exercer os seus direitos.

Se você não possui nenhuma destas medidas citadas, comece imediatamente! Nós podemos te ajudar.