Geral 3309-8900 | Central de Serviços 3546-0300 
sac@portnet.com.br 
Avaliar a aplicação de sanções prevista na LGPD ainda é algo voltado para a análise comparativa no âmbito LGPD x GDPR, tendo em vista que nossa autoridade regulamentadora, ANPD, ainda está em processo de formatação.
Como nossa lei possui forte inspiração da lei europeia é possível que as diretrizes acerca da aplicação das multas e outras sanções também busquem inspiração no cenário europeu. Até o momento são previstos apenas alguns pontos que deverão ser observados para a avaliação das punições, mas as metodologias e valor-base serão apresentadas em momento futuro pela ANPD, conforme exposto no art. 53, §1º da LGPD.
Sanções previstas na LGPD
Nossa lei prevê ao todo 6 tipos de sanções para infrações à lei, sendo elas:
- Advertência;
- Multa de até R$50.000.000,00 por infração;
- Multa diária;
- Divulgação da infração ao público;
- Bloqueio dos dados pessoais relativos à infração;
- Eliminação dos dados pessoais relativos à infração.
Apesar do alto valor da multa, entendemos que os danos financeiros oriundos de uma interrupção nas atividades em decorrência do bloqueio dos dados pessoais ou sua eliminação, e os fortes danos à imagem da empresa por conta de uma divulgação da infração podem apresentar um impacto mais significativo para a empresa.
Contudo, qualquer tipo de punição antes de ser aplicada deverá respeitar um procedimento administrativo que garanta a ampla defesa e observe o impacto da infração, quais medidas foram tomadas para evitar e combater o evento, o poder econômico do infrator, sua cooperação com a agência e vários outros elementos que servirão para a autoridade no momento de decidir se a empresa deve ou não ser punida
Critérios para aplicação de sanções da LGPD
Como havíamos falado, nossa agência ainda não disponibilizou nenhuma informação sobre como será o processo avaliativo, mas a LGPD já nos apresenta os principais elementos que a ANPD irá levar em consideração ao elaborar a metodologia de avaliação e aplicação de punições, sendo onze ao todo.
- O impacto do incidente e quais dados ele afeta;
- Se existe boa-fé por parte da empresa no tratamento dos dados;
- O que motivou a empresa a tratar os dados;
- O poder econômico da empresa;
- Se a empresa é ou não reincidente;
- Qual o dano gerado;
- Cooperação com a ANPD e com os usuários
- O desenvolvimento e aplicação de medidas tecnológicas e organizacionais que auxiliem na prevenção do dano;
- Políticas de boas práticas e governança;
- Adoção de medidas corretivas;
- A proporcionalidade entre a gravidade da falta e a intensidade da sanção.
Entendo que a ANPD irá exigir das empresas a comprovação que agiu através dos melhores meios tecnológicos existentes no mercado, não realizou nenhum tipo de tratamento não especificado ao titular e não agiu de forma abusiva.
Assim, é muito importante que as empresas para estarem seguras devem possuir mecanismos que possam comprovar, por histórico de registros, todas as ações tomadas dentro dos tratamentos de dados e criar processos que abarquem a segurança e proteção de dados pessoais
Exemplos de sanções aplicadas no GDPR
British Airways – multada em 183 milhões de libras em julho de 2019
A multa aplicada pela autoridade inglesa, ICO, ocorreu após a denúncia de que quinhentos mil usuários da companhia teriam sido vítimas de fraudes ao serem desviados do site da aérea para outro que estava realizando a coleta de dados pessoais como nome, endereço, dados bancários e outros.
A causa do elevado valor foi o altíssimo impacto causado aos usuários em decorrência dos fracos acordos firmados entre a companhia e serviços de segurança.
Esse evento demonstra a importância na revisão dos contratos de serviços e produtos de segurança, bem como os acordos de atendimento firmados e quais mecanismos de segurança são aplicados.
Marriott International – multada em 99 milhões de libras em julho de 2019
Após o vazamento de cerca de 339 milhões de registros de hospedes, a ICO aplicou a multa contra o grupo hoteleiro em decorrência de uma falha de segurança de um sistema de outro grupo de hotéis adquiridos pela empresa.
Assim, ao realizar a aquisição do grupo hoteleiro Starwood e não realizar a revisão dos sistemas de segurança e outras diligências necessárias para garantir a segurança dos usuários a Marriott sofreu a sanção de 99 milhões de libras.
Bounty – multado em 400 mil libras em abril de 2019
A multa em questão ocorreu devido à falta de informações claras aos usuários de como, quando e para quem os dados pessoais fornecidos seriam transferidos, o que demonstra como as leis de privacidade se importam com a transparência da relação empresa e titular de dados.