As sanções administrativas de que tratam a LGPD se encontram no artigo 52, quais sejam:

“Art. 52. Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas nesta Lei, ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional: (Vigência)”

Infração é quando a empresa não cumpriu a LGPD, não está adequado, não ter políticas internas e avisos, bem como, não respeitar os princípios da Lei.

Caso o sistema da sua empresa seja hackeado ou invadido, e se a sua empresa já iniciou o processo de adequação, mas de alguma forma foi invadido, é tão vítima quanto os titulares que sofreram esse prejuízo, mas se não se adequou, acha que a lei não vai pegar, se não levantou camada de segurança e não está preocupado, é considerado coautor, pois não tomou as medidas necessárias para proteger os dados pessoais dos titulares, infringiu a LGPD, e mesmo sendo ação de terceiros a empresa poderá ser responsabilizada.

Existem atenuantes e agravantes na hora da ANPD verificar qual vai ser a sanção ou se vai aplicar a sanção:

É considerado atenuante quando a empresa comunica o incidente de segurança em 02 dias úteis, mas o que está acontecendo é que todas as empresas estão negando os incidentes de segurança, e não é o que a ANPD espera das empresas, pois tem que cumprir o princípio da boa-fé. Caso tenha feito a comunicação, terá a sua pena atenuada e de repente a ANPD pode enxergar como vítima e nem punir a empresa.

Art. 52, parágrafo 2º, estabelece que o disposto neste artigo não substitui as sanções administrativas, civis ou penais estabelecidas no Código de Defesa do Consumidor, ou seja, a empresa pode ser multada, pelo Procon, quanto pela ANPD concomitantemente. A empresa também pode responder civilmente e criminalmente além da ANPD, de forma conjunta.

Tipos de sanções:

1. Advertência com indicação de prazo para adoção de medidas corretivas – se teve um incidente, não muito grave, avisou a ANPD nos 02 dias úteis que precisava, foi considerada boa-fé, a ANPD adverte e dá o prazo para corrigir para não acontecer de novo a após esse prazo precisa provar para a ANPD que tomou as providências necessárias;
2. Multas simples de até 2% do faturamento da pessoa jurídica de direito privado (órgãos públicos não são multados), grupo ou conglomerado no Brasil do seu último exercício, a multa está limitada a 50 milhões de reais, por infração.
3. Multa diária, também observado o limite de 50 milhões de reais. A multa é o menos dos problemas;
4. Publicização da infração após apurada e confirmada a sua ocorrência, a ANPD tem a obrigação de publicizar para que todos os seus titulares saibam. E quando há uma publicização negativa, a marca perde o valore a mesma pode vir a falir;
5. Bloqueio dos dados pessoais a que se refere a infração até a sua regulamentação, não pode tratar até regularizar a pendência;
6. Suspensão parcial do funcionamento do banco de nados a que se refere a infração por período máximo de 06 (seis) meses;
7. Suspensão do exercício de atividade de tratamento de dados pessoais a que se refere a infração pelo prazo máximo de 06 meses, prorrogáveis pelo mesmo período;
8. Suspensão parcial ou total de tratamentos de dados por tempo indeterminado.

O quão importante é a empresa se adequar o quanto antes, para evitar que seja sancionada com base na LGPD, por não tratar os dados de forma legal.

No primeiro momento a ANPD vai ser mais flexível em relação as aplicações das sanções, porém outros órgãos, como o judiciário e o PROCON já estão multando.

Das sanções do artigo 52 da LGPD, que é muito mais danoso ter os dados bloqueados sem poder tratar, bem como ter as atividades suspensa sendo ela por até 12 meses ou por tempo indeterminado do que ser multada, a multa se paga, mas não poder exercer as atividades ou não poder tratar o dado é bem pior. A maior sanção no meu ponto de vista é quando há infração e a mesma é publicizada, podendo levar a marca perder valor de mercado e podendo vir a falir.

Kariny Antunes Farina