Na última sexta-feira, 30 de julho, a Autoridade Nacional de Proteção de Dados (ANPD), responsável pela regulamentação e fiscalização da Lei Geral de Proteção de Dados, publicou esclarecimentos sobre as sanções administrativas da LGPD. As regras entraram em vigor em 1º de agosto de 2021 e podem impactar todas as áreas das empresas, inclusive a gestão de pessoas. Confira os pontos de atenção para as companhias.
De acordo com a publicação no site da ANPD, mais do que nunca, empresas e colaboradores precisam estar atentos à lei para evitar prejuízos que podem ser irreversíveis. Vale lembrar que a LPGD é uma legislação de suma importância para a segurança jurídica nas organizações.
Principais esclarecimentos
A ANPD divulgou uma série de esclarecimentos sobre os artigos 52, 53 e 54 da Lei, referentes às sanções administrativas. Confira os principais:
Quais sanções podem ser aplicadas pela ANPD?
Segundo a Autoridade Nacional de Proteção de Dados, a LGPD prevê várias sanções administrativas, de natureza admoestativa, pecuniária e restritiva de atividades. Conforme o artigo 52 da lei, a ANPD pode aplicar as seguintes:
- Advertência, com indicação de prazo para adoção de medidas corretivas;
- Multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50 milhões por infração;
- Multa diária, observado o limite total a que se refere o inciso II;
- Publicização da infração após devidamente apurada e confirmada a sua ocorrência;
- Bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
- Eliminação dos dados pessoais a que se refere a infração;
- Suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de seis meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;
- Suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de seis meses, prorrogável por igual período;
- Proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
Como a Autoridade vem se estruturando para aplicar sanções?
A LGPD determina que a ANPD deverá editar regulamento próprio sobre sanções administrativas, que será objeto de consulta pública, contendo as metodologias que orientarão o cálculo do valor-base das multas.
A aplicação de sanções administrativas da LGPD requer criteriosa apreciação e ponderação de diversas circunstâncias, dentre elas:
- A gravidade e a natureza das infrações e dos direitos pessoais afetados;
- A condição econômica do infrator;
- O grau do dano;
- A cooperação do infrator;
- A adoção de política de boas práticas e governança e a pronta adoção de medidas corretivas.
Abordagem da ANPD frente às infrações
Segundo a proposta de regulamento submetida à Consulta Pública, a atuação da ANPD acontecerá com uma abordagem responsiva, ou seja, de maneira gradual. Será baseada no comportamento do regulado e alicerçada em um plano de monitoramento do setor que permita a priorização de temas segundo seu risco, gravidade, atualidade e relevância.
Assim, a proposta de regulamento prevê etapas de monitoramento, orientação, prevenção e repressão de infrações, levando em consideração as informações recebidas a partir de reclamações, denúncias, representações e notificações de incidentes para estabelecer prioridades a serem incluídas na agenda de fiscalização.
A LGPD prevê que a ANPD articulará sua atuação com outros órgãos e entidades com competências sancionatórias e normativas relacionadas ao tema de proteção de dados pessoais. No entanto, será o órgão central de interpretação da Lei e do estabelecimento de normas e diretrizes para a sua implementação.
A Autoridade já possui acordos de cooperação firmados com a Secretaria Nacional do Consumidor (SENACON) e com o Conselho Administrativo de Defesa Econômica (CADE) que permitem o desenvolvimento de atividades conjuntas.
Aplicação de sanções administrativas da LGPD
De acordo com a publicação, penalidades da LGPD são aplicáveis após a aprovação do Regulamento de Fiscalização e de Aplicação de Sanções Administrativas, que estabelece as etapas do processo administrativo sancionador e os direitos dos administrados.
A atuação da Autoridade pode se dar com relação a fatos ocorridos após 1º de agosto de 2021 ou para delitos de natureza continuada iniciados antes de tal data. O cálculo das multas considerará os parâmetros estabelecidos pela LGPD (art. 52). A metodologia ainda será submetida à consulta pública.
Impactos no RH
Os profissionais de RH são responsáveis pela administração de diversos dados durante a rotina de trabalho, explica Pablo Gomes, Sócio do Melo Campos Advogados e Head da área de Direito Digital e Proteção de Dados. “Consequentemente, a área precisa ficar atenta para estar sempre dentro da Lei, entendendo as falhas, preparando e treinando colaboradores constantemente para que todos cumpram suas respectivas responsabilidades para a proteção de dados”.
Com as sanções administrativas da LGPD em vigor, cada empresa é responsável por seus processos de controle de segurança da informação. Ou seja, ao contratar produtos ou serviços que não entregam níveis adequados de sigilo, a organização se torna responsável caso venha cair na mão de cibercriminosos, estando sujeita a multas e danos quase irreparáveis à sua imagem corporativa.
Independente das tratativas das sanções administrativas da LGPD, já é imprescindível que o RH tenha adotado estratégias que visam minimizar uma violação ou vazamento de dados pessoais nas companhias. Afinal, a área lida com um volume elevado de informações sensíveis dos colaboradores. Esse é um ponto importante para ficar atento, pois as sanções administrativas podem ser aplicadas cumulativamente, por dia e infração.
Envolvendo os colaboradores
Como fazer com que todos os funcionários entendam a importância da proteção e segurança dos dados nas companhias? Um exemplo é a experiência da LG lugar de gente, certificada na ISO 27001, norma que estabelece um padrão internacional para o sistema de gestão da segurança da informação.
De acordo com André Belém, Gerente de Segurança da Informação e Encarregado pelo Tratamento de Dados Pessoais da organização, os colaboradores foram essenciais. “Trabalhamos fortemente em ações de conscientização. Usamos técnicas convencionais de educação, como aulas e palestras e investimos em ações inovadoras, com soluções da LG lugar de gente como gamificação. Assim, tornamos o processo de aprendizado divertido e prático”, explica.
Já Luciene Martins, Gerente de Gestão para Resultados e do Projeto de Segurança da Informação da LG lugar de gente, explica que, na empresa, esse processo educativo tem início no primeiro dia de trabalho de cada novo colaborador, dada sua relevância.
“Antes de receber acesso a qualquer tipo de informação nossa ou de clientes, os novos colaboradores precisam passar por um treinamento completo para garantir que saibam evitar violações de segurança ou mesmo ajudem na detecção de incidentes”, esclarece.
Mais do que isso, Luciene afirma que sem a ajuda das pessoas, as ações para proteção de dados estão fadadas ao fracasso. “Hoje, podemos dizer que, com certeza, nossos colaboradores são a principal linha de defesa contra ciberameaças”, conclui.
Quer apoio para capacitar os colaboradores da sua empresa de forma lúdica e não correr o risco de sofrer sanções administrativas da LGPD? Conheça a solução da LG lugar de gente que combina treinamento on-line e gamificação e descubra como desenvolver e engajar o seu time.