Basicamente, haverá dois níveis de sanções com base na Lei Geral de Proteção de Dados – LGPD. A primeira delas consiste em advertência, com indicação de prazo para adoção de medidas corretivas para a quebra do sigilo de dados pessoais.
A segunda delas consiste em multas de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração.
O que pode ser visto é que as multas são substanciais e são uma boa razão para as empresas garantirem o cumprimento da nova legislação que entra em vigor em 2020.
Como as multas da LGPD são aplicadas em caso de quebra do sigilo de dados pessoais?
De acordo com lei nº 13.709, de 14 de agosto de 2018, legislação que define a LGPD, as sanções serão aplicadas após procedimento administrativo que possibilite a oportunidade da ampla defesa, de forma gradativa, isolada ou cumulativa, de acordo com as peculiaridades do caso concreto e considerados os seguintes parâmetros e critérios:
-
A gravidade e a natureza das infrações e dos direitos pessoais afetados;
-
A boa-fé do infrator;
-
A vantagem auferida ou pretendida pelo infrator;
-
A condição econômica do infrator;
-
A reincidência;
-
O grau do dano;
-
A cooperação do infrator;
-
A adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados;
-
A adoção de política de boas práticas e governança;
-
A pronta adoção de medidas corretivas;
-
A proporcionalidade entre a gravidade da falta e a intensidade da sanção.
Portanto, as multas por infrações serão consideradas caso a caso e levarão em consideração vários critérios, tais como a natureza intencional da infração, quantos assuntos foram afetados e quaisquer infrações anteriores do controlador ou processador.
Nem todas as infrações relacionadas a quebra do sigilo de dados pessoais previstas pela LGPD levam à multas. A autoridade nacional responsável pela supervisão, têm o escopo de tomar uma série de outras ações, tais como:
-
Emissão de avisos e repreensões;
-
Tornar a infração pública após devidamente apurada e confirmada a sua ocorrência;
-
Impor uma proibição temporária ou permanente ao processamento de dados;
-
Ordenar a retificação, restrição ou eliminação de dados.
Vale destacar ainda que a responsabilidade pela quebra do sigilo de dados pessoais também exige a demonstração de negligência e não conformidade.
Para que a empresa seja considerada responsável pela quebra do sigilo de dados pessoais, deve ser demonstrado que ela não cumpriu com suas obrigações, que isso resultou em danos reais e que existe uma relação causal entre a não conformidade e tais danos.
O que as organizações devem fazer para se preparar para a LGPD?
O artigo deixa claro que as organizações devem levar a sério a proteção e o sigilo de dados pessoais. Questões de conformidade devem ser uma preocupação fundamental para as organizações, devido às implicações de responsabilidade mais amplas.
Não se trata apenas de proteger a empresa diretamente de ameaças externas, mas também de garantir o limite de possíveis violações internas.
Com isso, as organizações de diferentes segmentos e tamanhos não apenas têm uma responsabilidade mais ampla sobre o sigilo de dados pessoais, mas também um dever mais profundo de demonstrar sua conformidade.
O que as empresas precisam agora é se concentrar em atualizar seus protocolos de segurança de informação, políticas de proteção de dados e declarações de privacidade.
Além disso, o treinamento de equipe é uma parte crucial da proteção e do gerenciamento de dados, já que está olhando de perto quem tem acesso aos dados, como é feito e quando.
Por fim, as organizações devem passar por uma avaliação de risco adequada e fase de testes a esse respeito, visando garantir a conformidade com a legislação.
A proteção de dados pode beneficiar as empresas
Embora a LGPD tenha sido vista por alguns como um mecanismo para penalizar as empresas, a proteção aprimorada dos dados pode beneficiar as organizações.
O público deve ser capaz de confiar na organização que usa e que se concentra em acertar um nível maior de proteção. Os esforços também visam melhorar a segurança e proteger melhor as empresas contra atividades criminosas.
Com a LGPD entrando em vigor efetivamente em 2020, as empresas, através dos seus gestores, devem se conscientizar de suas tarefas e dedicar atenção significativa à segurança cibernética de suas operações.
Este é, sem dúvida, um grande desafio, mas não pode ser deixado por fazer: todos os indivíduos e organizações que lidam com dados pessoais devem garantir que estão em conformidade com a nova legislação de proteção de dados. O risco de não ser compatível é muito grande e põe em perigo seu negócio.
Fique por dentro de nossas dicas e novidades! Acompanhe o blog, as nossas nas redes sociais e assine a nossa newsletter. Na Tilibra Express você tem a confiança de comprar online com uma marca líder de mercado.