LGPD em plena vigência: o que fazer para se adequar e evitar as sanções administrativas?

Depois de quase um triênio da Lei Geral de Proteção de Dados Pessoais (LGPD) ter sido publicada, a partir de 1º de agosto de 2021, encerrou-se a vacatio legis para as sanções administrativas nela previstas.

Sendo assim, a partir de agora, as organizações empresariais de todo o país passarão para uma fase de alerta total, tendo em vista que a Autoridade Nacional de Proteção de Dados (ANPD), órgão federal responsável pela aplicação de tais sanções, terá a possibilidade de balizar suas operações de controle e de fiscalização da cultura da proteção de dados com força coercitiva aplicada aos agentes de tratamento.

Mas, atenção! É fundamental compreender  que as sanções administrativas que passaram a vigorar deverão ser precedidas de um devido processo administrativo, constitucionalmente garantido, inclusive com amparo no contraditório e na ampla defesa.

Ademais, a ANPD, ao cumprir com seu poder-dever sancionatório, deverá observar elementos factuais como a boa-fé do infrator, a gravidade da infração, a vantagem que o infrator percebeu do ilícito, sua capacidade financeira sua cooperação para minimizar os danos e, ao nosso sentir, um dos pontos mais importantes, a implementação de efetiva cultura organizacional de proteção de dados pessoais.

Nesses termos, quanto à promoção da cultura de privacidade de dados, importante salientar que a ANPD investigará a adoção de algumas importantes medidas, quais sejam: a demonstração de adoção de mecanismos e procedimentos para mitigar os danos; a adoção de política de boas práticas e governança; a pronta adoção de medidas corretivas.

Ora, com isso, a ANPD poderá exercer seu mister corretivo o qual será medido pela régua da proporcionalidade, sempre de olho no binômio diretamente proporcional: medido na razão gravidade da falta e intensidade sancionatória.

Nesses termos, deve-se ficar claro que a Autoridade Nacional somente estipulará a aplicação de multa diária no valor máximo de R$ 50.000.000,00 (cinquenta milhões de reais), em casos de maior gravidade ofensiva aos direitos dos titulares de dados violados.

Outrossim, em casos menos impactantes, a lei prevê apenas uma advertência para que o infrator repare a infração praticada.

Válido ressaltar que, apesar de a LGPD prever uma regulamentação própria a ser criada pela ANPD para a imposição das sanções administrativas, até o presente momento tal normativa regulatória ainda não foi publicada, sendo importante aguardarmos pelo posicionamento do órgão. Fato é que o órgão em breve estará  lançando tal regramento.

Contudo, um ponto é certo: nem só de sanções pecuniárias serão feitas as ações da ANPD; outras medidas duríssimas poderão ser tomadas, como a divulgação das faltas cometidas pelos infratores, exclusão, bloqueio ou suspensão de dados correlatos à infração, chegando até mesmo à possibilidade proibição parcial ou total do exercício da atividades de tratamento de dados.

Sendo assim, para adequar-se à LGPD, evitando as sanções administrativas, é importante que se adote algumas medidas de conformidade de dados com fito a alterar a própria cultura de dados da sua organização.

O primeiro passo seria o desenvolvimento do mapeamento de procedimentos internos de sua organização que envolvem dados (data mapping). Com este mapeamento, temos um fluxograma estruturado de dados por setor da organização, contendo as principais nuances de como, quando, quanto e por qual razão os dados são tratados.

Após a estruturação do mapa de dados, buscamos criar um relatório pormenorizado com medidas jurídicas a serem aplicadas frente às lacunas encontradas nos procedimentos mapeados. Com a nomeação do encarregado de dados (chamado no mundo coorporativo de Data Protection Officer, ou DPO), e sendo de considerável nível a complexidade de processos envolvendo dados na organização, torna-se imprescindível um cálculo bem apurado dos riscos existentes e do impacto que tais riscos podem causar aos titulares dos dados em tratamento. 

Aliás, é preciso colocar em prática as medidas que foram previstas no planejamento, seguida da elaboração de documentos legais de políticas de cookies e de privacidade, manuais de governança de dados para os colaboradores, adequação de termos de uso e de contratos, e evidência de oferta de cursos e capacitações para os colaboradores.

Como sempre, salientamos ao falar sobre a LGPD em Alagoas e em Pernambuco, tais medidas de mitigação e controle de riscos e de impacto no tratamento de dados pessoais são de fato complexas, e por tal razão, demandam um conhecimento transversal a áreas afins, como tecnologia da informação e segurança de dados, competências que devem ser agregadas pelos times profissionais responsáveis pela adequação da organização aos parâmetros e exigências da lei e da Autoridade Nacional de Proteção de Dados.