Consequências do descumprimento das normas da LGPD

É competência da Autoridade Nacional de Proteção de Dados (ANPD) aplicar as diversas sanções trazidas pela Lei Geral de Proteção de Dados (LGPD), o que somente pode ocorrer após procedimento administrativo que possibilite a oportunidade da ampla defesa, de forma gradativa, isolada ou cumulativa, de acordo com as peculiaridades do caso concreto, conforme disposto no artigo 52, § 1º, que também traz uma lista de parâmetros e critérios para a aplicação das sanções. São eles:

1. A gravidade e a natureza das infrações e dos direitos pessoais afetados;
2. A boa-fé do infrator;
3. A vantagem auferida ou pretendida pelo infrator;
4. A condição econômica do infrator;
5. A reincidência;
6. O grau do dano;
7. A adoção reiterada e demonsatrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados. Vide artigo 48, § 2º da LGPD;
8. A cooperação do infrator;
9. A adoção de política de boas práticas e governança;
10. A pronta adoção de medidas corretivas; e
11. A proporcionalidade entre a gravidade da falta e a intensidade da sanção.

Vale lembrar, também, que tais sanções não substituem a aplicação do Código de Defesa do Consumidor.

Por último, vale informar que, nos casos de acesso não autorizado ou qualquer forma de tratamento inadequado ou ilícito, é possível a conciliação entre titular e controlador dos dados. Caso as partes não cheguem em um acordo, aplica-se as penalidades previstas na lei.

Esclarecidas essas informações, podemos prosseguir para as penas previstas na LGPD, que são:

1. Advertência, com indicação de prazo para adoção de medidas corretivas;
2. Multa simples, de até 2% do faturamento da empresa no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
3. Multa diária, de até 2% do faturamento da empresa no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
4. Publicização da infração após devidamente apurada e confirmada a sua ocorrência. A publicação pode ser conferida na lista exibida no site da ANPD.
5. Bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
6. Eliminação dos dados pessoais a que se refere a infração;
7. Suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;
8. Suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 meses, prorrogável por igual período;
9. Proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.