A partir do dia 1º de Agosto, a Autoridade Nacional de Proteção de Dados (ANPD) vai começar a exercer a função de fiscalização de adequação à Lei Geral de Proteção de Dados (LGPD). Em vigor desde Setembro de 2020, a LGPD prevê multas que podem chegar a até 2% do faturamento bruto, para as empresas que não estiverem adequadas, com limite de R$ 50 milhões por infração.
Apesar de estar em vigor desde setembro de 2020, a lei passou por diversas prorrogações para o início das medidas fiscalizatórias, as quais começam a entrar em vigência no início do mês de agosto de 2021. Dessa forma, a ANPD passa a ser o órgão central para atender todas as demandas extrajudiciais que tratam de proteção de dados pessoais e também passará a aplicar as medidas sancionatórias em caso de descumprimento da lei.
As medidas são bastante rigorosas e incluem:
Multa simples de até 2% do faturamento bruto da empresa;
Multa diária;
Publicização da infração ao público;
Bloqueio dos dados pessoais relativos à infração;
Eliminação dos dados pessoais relativos à infração;
Advertência.
Desde outubro de 2020, o corpo diretivo da ANPD está estruturado e tem adotado uma postura educativa, pois sabe e reconhece que precisa esclarecer alguns pontos da LGPD. Então no início, a autoridade vai entender o comportamento da empresa que está sendo acusada ou está sob investigação de alguma violação. Quanto mais a empresa colaborar, menor a chance de ela tomar uma medida de penalização, no máximo uma advertência ou uma recomendação da autoridade de como corrigir o que a ANPD encontrou de errado.
Caso a empresa não se colocar à disposição para colaborar com a autoridade, ela poderá dificultar a situação.
Como vai funcionar a fiscalização?
A partir de agosto, a ANPD poderá agir de ofício, ou seja, além de reclamações e denúncias da população contra as empresas, ela poderá também escolher quais empresas ela quer investigar em determinado momento.
Em casos de início por reclamações ou denúncias, a ANPD entra em segunda instância, depois de o cliente mostrar que tentou chegar em uma resolução com a empresa. Além disso, a investigação ou punição não se dará por apenas uma reclamação ou denúncia à autoridade, mas com diversas reclamações por dia. Isso fará com que a ANPD possa atuar com mais detalhamento.
A estratégia de fiscalização da LGPD vai seguir os seguintes valores:
Regulação com base em evidências;
Proporcionalidade entre riscos e recursos alocados;
Processos transparentes e justos;
Promoção da conformidade pelos mais diversos instrumentos e abordagens.
E além disso, as sanções serão aplicadas de forma escalável e piramidal, com penalidades mais severas para casos extremos. Dessa forma, as sanções mais graves serão aplicadas apenas em último caso, servindo como um estímulo de conciliação entre as partes.
Os esforços de fiscalização irão compreender as seguintes atividades:
Monitoramento
- Levantamento de informações relevantes que tornem a ANPD sensível ao ambiente regulado e às demandas dos titulares de dados, dos agentes de tratamento e dos demais interessados.
Orientação
- Utilização de métodos que auxiliam na conscientização dos agentes de tratamento e titulares dos dados pessoais. Entre essas medidas estão a elaboração e disponibilização de guias de boas práticas.
Fascículo de Proteção de Dados
Fascículo de Vazamento de Dados
Atividade preventiva
- Construção conjunta e dialogada de soluções e medidas para reconduzir as empresas à conformidade com a lei.
Atividade repressiva
- Atuação coercitiva da ANPD, voltada à interrupção de riscos, reparação de danos e punição dos responsáveis.
Como minha empresa deve se posicionar?
A empresa precisa de um Comitê de adequação à LGPD. Defina uma equipe que vai ser responsável por acompanhar o processo de adequação à LGPD, unindo profissionais das áreas mais relevantes para a empresa em termos de tratamento de dados.
Essa equipe será a responsável por manter a empresa alinhada e adequada à lei. Logo, para isso, é muito importante possuir um mapeamento atualizado do fluxo de dados na empresa. Essa é uma das etapas mais importantes no processo de adequação. É preciso entender o ciclo de vida de cada tipo de dado, desde a coleta até o descarte. Para isso, é importante que a empresa saiba de forma bastante clara fatores como o local de armazenamento desses dados, quais dados são coletados, quem tem acesso a cada tipo de dado e quem manipula e usa os dados.
Além disso, a empresa precisa garantir uma comunicação transparente com o titular dos dados e com a ANPD. A transparência é um dos princípios que guia toda a LGPD e o próprio conceito de proteção de dados, logo adotar uma postura de buscar resolver todos os conflitos de forma transparente perante ao titular dos dados e à autoridade nacional é muito importante.
Finalmente, invista em treinamento e conscientização das equipes. Manter-se em conformidade com a LGPD é um processo contínuo, que vai exigir atenção de toda a equipe e mudanças na cultura organizacional. É importante que todos conheçam e entendam os princípios da lei e incorporem a prática de proteção de dados pessoais no dia a dia das atividades.
Por isso, nós da Data Driven Organization, sempre reforçamos que para uma forte cultura Data Driven, é primordial que o tratamento dos dados da empresa esteja adequado às normas de utilização da LGPD. Essa é a única forma de conseguir utilizar os dados para gerar valor nas tomadas de decisão sem se expor a riscos desnecessários perante ao regulamentador e também aos clientes.