LGPD: AS SANÇÕES ADMINISTRATIVAS VERSUS A IMAGEM REPUTACIONAL

30 jul LGPD: AS SANÇÕES ADMINISTRATIVAS VERSUS A IMAGEM REPUTACIONAL

Apesar do movimento provocado pela proximidade do início da aplicação das sanções administrativas, muitas empresas ainda não se adequaram às determinações da Lei nº 13.709/2018, denominada Lei Geral de Proteção de Dados Pessoais (LGPD).

Interessante observar que a LGPD, com as alterações introduzidas pela Lei nº 13.853/2019 e pela Lei nº 14.010/2020, previu três períodos distintos de vacatio legis: o primeiro (28/12/2018)¹, específico para a Autoridade Nacional de Proteção de Dados – ANPD; o segundo (1º/8/2021)², referente às sanções administrativas; e o terceiro (24 meses após a data de sua publicação, ocorrida em 15/08/2018)³, aplicável aos demais artigos da referida norma.

A rigor, a possibilidade de aplicação das sanções administrativas previstas na LGPD – que vão desde a simples advertência a penalidades mais severas, como a proibição total do exercício de atividades relacionadas ao tratamento de dados – não deveria ser a principal motivação das empresas em relação à necessidade de adequação às obrigações da lei.

Isso, porque outras sanções têm sido aplicadas desde o momento em que a LGPD entrou em vigor. Vários casos em que os Procons, a Secretaria Nacional do Consumidor e o Ministério Público atuaram para penalizar as empresas envolvidas em vazamentos de dados pessoais foram divulgados pela mídia nesse interregno.

Apesar de não se poder desconsiderar o impacto da multa pecuniária –  até 2% (dois por cento) do faturamento, limitada a R$ 50.000.000,00 (cinquenta milhões de reais) por infração – e das demais sanções estabelecidas na LGPD, existe um risco associado que pode ser ainda maior: a perda da imagem reputacional.

Dependendo da situação, a perda da credibilidade perante os clientes e o mercado pode ter consequências ainda mais severas que as propaladas sanções administrativas da LGPD.

Nesse contexto, a implementação do programa de adequação à LGPD, além de minimizar o risco de incidência das sanções administrativas, tem por finalidade preservar a reputação da própria empresa, demonstrando ao mercado a atenção que aquela organização dedica ao tratamento dos dados pessoais.

Qual seria o custo reputacional para um laboratório ou uma loja de departamento na hipótese de vazamento de dados relacionados a resultados de exames médicos, senhas de acesso e cartões bancários dos seus clientes? Cada empresa deverá avaliar cuidadosamente o impacto desse risco em relação ao seu negócio específico.

A bem da verdade, o programa de implementação da LGPD deveria ser visto como instrumento para fomentar a cultura organizacional de boas práticas do tratamento de dados pessoais. Contudo, para aqueles que não conseguem reconhecer esse valor, que sejam sensibilizados pela potencialidade da aplicação das sanções e, principalmente, pelo risco do abalo à imagem reputacional de seus negócios.

Conteúdo elaborador pelo nosso Sócio Renato Almeida Viana, Coordenador do Comitê de LGPD do CESA/MG.

____________

[1] Art. 65. Esta Lei entra em vigor:    (Redação dada pela Lei nº 13.853, de 2019)

I – dia 28 de dezembro de 2018, quanto aos arts. 55-A, 55-B, 55-C, 55-D, 55-E, 55-F, 55-G, 55-H, 55-I, 55-J, 55-K, 55-L, 58-A e 58-B; e                (Incluído pela Lei nº 13.853, de 2019)

[2] Art. 65. Esta Lei entra em vigor:   

(…)

I-A – dia 1º de agosto de 2021, quanto aos arts. 52, 53 e 54; (Incluído pela Lei nº 14.010, de 2020)

[3] Art. 65. Esta Lei entra em vigor:   

(…)

II – 24 (vinte e quatro) meses após a data de sua publicação, quanto aos demais artigos.                  (Incluído pela Lei nº 13.853, de 2019)

[4] Art. 52. Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas nesta Lei, ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional:

I – advertência, com indicação de prazo para adoção de medidas corretivas;

II – multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;

III – multa diária, observado o limite total a que se refere o inciso II;

IV – publicização da infração após devidamente apurada e confirmada a sua ocorrência;

V – bloqueio dos dados pessoais a que se refere a infração até a sua regularização;

VI – eliminação dos dados pessoais a que se refere a infração;

X – suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador; 

XI – suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período; 

XII – proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.