Quando as sanções da LGPD passarão a valer? A partir de agosto, ANPD poderá aplicar sanções que vão desde advertências até multas.
A Lei Geral de Proteção de Dados (LGPD – Lei nº 13.709/2018) foi sancionada em 2018, mas seus dispositivos entraram em vigor em três momentos distintos. O dispositivo relativo à Autoridade Nacional de Proteção de Dados (ANPD) passou a valer em dezembro de 2018, e os demais artigos, com exceção das sanções administrativas, em setembro de 2020.
As sanções administrativas, contudo, tiveram sua aplicação adiada para que as organizações pudessem se preparar e entrar em conformidade em tempo hábil. No próximo dia 1º de agosto, entretanto, a vigência da LGPD estará completa, na medida em que as sanções administrativas nela previstas passarão a valer também.
Portanto, a partir de agosto de 2021 a ANPD poderá aplicar sanções administrativas que vão desde simples advertências até multas no valor de até 2% do faturamento da empresa ou grupo, limitadas a R$ 50milhões por infração. A LGPD traz, ainda, sanções como a publicização da infração, bloqueio e até eliminação dos dados pessoais relacionados à infração, que podem ser tão ou mais penosas às organizações do que as próprias multas.
Ponto importante a ser observado é que não há na legislação a definição do que seria “por infração”, de modo que a simples violação à norma poderá acarretar a aplicação das sanções administrativas, ou seja, independentemente da existência de vazamento de dados pessoais. Por exemplo, vimos aqui no Blog Minuto da Segurança, em 17 de julho, que a Sodimac foi condenada a pagar indenização decorrente de falha de segurança, ocasião em que a 26ª Câmara de Direito Privado do Tribunal de Justiça de São Paulo (TJ-SP), que condenou a empresa a indenizar um cliente em R$ 2 mil e o colegiado aplicou ao caso a Lei Geral de Proteção de Dados Pessoais (LGPD).
A lei brasileira tem como inspiração o Regulamento Geral sobre a Proteção de Dados (GDPR), a norma europeia, e foi sancionada em agosto de 2018. A LGPD é uma norma federal e tem abrangência geral, o que significa que é aplicada a todas as organizações públicas ou privadas que usarem tratamento de dados pessoais em suas atividades. Tratamento de dados pessoais realizados por particulares com finalidades domésticas ficaram de fora da tutela da lei.
Dessa forma, todas as instituições que usarem dados pessoais em suas atividades devem buscar implementar procedimentos internos que garantam a proteção dos dados pessoais e o respeito à LGPD o quanto antes. Um dos primeiros cuidados a serem observados é a atribuição de responsabilidades e competências dentro da instituição ou até mesmo de forma terceirizada, para o desenvolvimento de atividades necessárias e previstas na LGPD para a conformidade de cada uma destas organizações.
A LGPD traz, por exemplo, a obrigatoriedade dos controladores e operadores fazerem um registro das atividades de tratamento de dados da organização. A atividade, além de prevista na lei, é essencial para a organização ter a real noção de quais dados são tratados, para qual finalidade, com que base legal e os riscos envolvidos no uso desses dados pessoais.
Outro ponto importante a ser observado, ainda dentro da atribuição de responsabilidades, é a nomeação de um Encarregado ou Data Protection Officer (DPO). O DPO pode ser uma pessoa física ou jurídica que funcionará como canal de informação entre os titulares de dados e a Autoridade Nacional de Proteção de Dados.
A LGPD permite que essa função seja desenvolvida por alguém nomeado dentro da própria organização ou um prestador de serviços externo. Nessa busca pela conformidade à LGPD, o DPO tem papel essencial na garantia de que a legislação de proteção de dados seja implementada. A simples ausência de indicação clara do Encarregado ou DPO poderá ser considerada violação à LGPD e acarretar, por consequência, a eventual aplicação de sanções administrativas.
Necessário destacar, no mais, que a ANPD possui canal de denúncias em seu website que possibilitará que clientes, concorrentes, empregados e até sindicatos ou associações denunciem as empresas que não estiverem em conformidade com a LGPD.
Sendo assim, é importante que as organizações busquem a sua conformidade o quanto antes, não só para não sofrerem as pesadas sanções previstas na LGPD, mas principalmente para estarem adequadas e em consonância com os direitos fundamentais da privacidade e da proteção de dados.
Webinar Governança de SI e a LGPD
Em consonância com a penalidade aplicada Sodimac e dentro deste tema de início das penalizações, ontem, dia 20 de julho, realizamos um webinar em parceria com a IBCO, demonstrando as referências de segurança da informação explicitamente contidas na LGPD. Falamos de sua importância e como poderíamos avaliar, qualificar e planificar as ações de segurança para atender aos requisitos da lei. Assista abaixo o nosso webinar e caso queira entre em contato pelo email contato@mindsec.com.br que teremos o prazer em ajudar.
https://youtu.be/kYFYd87tju4
Fonte: Jota
Veja também:
- O que fazer em meio a um ataque de ransomware?
- Decreto institui Rede Federal de Gestão de Incidentes Cibernéticos
- Ataques cibernéticos aumentam workload de TI e SI
- LGPD – Procon do Mato Grosso multa Droga Raia por irregularidade na obtenção de consentimento
- Sodimac é condenada a pagar indenização, com base na LGPD, decorrente de falha de segurança
- Cuba, Política e liberdade de acessos às redes sociais e a internet
- Nova vulnerabilidade Zero Day crítica da SolarWinds sob ataque ativo
- Patch emergencial da Microsoft não corrige vulnerabilidade PrintNightmare RCE
- Hackers infectam com ransomware Ryuk explorando falha do usuário
- 14 tecnologias híbridas de local de trabalho para impulsionar o futuro do trabalho
- Implantação do trabalho remoto exige estratégia e gerenciamento de risco
- Guardicore analisa o worm Indexsinas
Deixe sua opinião!