A Lei Geral de Proteção de Dados Pessoais entrou em vigor em setembro do ano passado. Acontece que a partir de segunda, 1º de agosto de 2021, começam a valer as sanções. Não estar com a LGPD implantada agora pode gerar multas de até R$ 50 milhões por infração.
Para os atrasados, é importante entender que não é um processo simples e nem rápido. Não é possível determinar prazo para o cumprimento do processo de adequação, até porque é um processo vivo. Os dados mudam frequentemente, e a base de ontem poderá não ser a mesma na semana que vem.
Existem ao todo 10 bases legais na LGPD aptas a justificar o tratamento de dados, sem ordem hierárquica definida; o consentimento é apenas uma dessas bases legais. Por desconhecimento de uma parte do mercado, que é inclusive alimentado pelo Judiciário, criou-se a percepção de que o consentimento é a única forma pela qual os dados podem ser tratados, o que não é verdade. A LGPD considera apenas os dados de pessoas físicas.
A lei prevê a obrigatoriedade da figura do DPO (Data Protection Officer) para garantir a proteção dos dados dentro das empresas. Por outro lado, a Autoridade Nacional de Proteção de Dados Pessoais (ANPD) estuda se há casos em que o DPO pode ser dispensado, por exemplo.
Os agentes de tratamentos de dados, em razão das infrações cometidas, ficam sujeitos a uma série de penalidades, que podem ser: advertência com indicação de prazo para a adoção de medidas; multa simples de até 2% do faturamento da empresa (limitada a R$ 50 milhões por infração); multa diária; publicização da infração, o que pode gerar danos reputacionais; bloqueio e a até a eliminação dos dados pessoais; suspensão parcial do funcionamento de bancos de dados; suspensão do exercício da atividade de tratamento; e uma sanção ainda mais grave: a proibição parcial ou total das atividades voltadas ao tratamento de dados.
A LGPD já foi implantada em seu negócio?
Se sim, recomenda-se uma auditoria externa para se ter certeza que nada ficou pra trás. Se não, vamos conversar?