SANÇÕES LGPD: TODO INCIDENTE DE SEGURANÇA DA INFORMAÇÃO GERARÁ MULTAS?

A ANPD (Autoridade Nacional de Proteção de Dados) pode aplicar as sanções administrativas previstas na LGPD (Lei Geral de Proteção de Dados) desde o dia 1º de agosto de 2021, sanções estas que incluem multas pecuniárias de até R$ 50 milhões por infração, proibição do tratamento de dados, exclusão, entre outras. Com isso, gestores e diretores de companhias têm se questionado se todo incidente de segurança (e descumprimentos em geral à legislação) gera sanções à empresa.

Mas antes de entrar especificamente nessa problemática, é importante destacar que incidente de segurança abrange não apenas aos vazamento de dados, mas também situações relacionadas a acesso indevido, alterações ou até mesmo exclusão incorreta de informações.

Posto isto, observando o disposto na Lei, devemos entender que apenas os incidentes que trazem risco ou dano relevante aos titulares afetados deverão ser obrigatoriamente comunicados à ANPD. E como será averiguado o tamanho desse incidente?

Quando houver o comprometimento de: i) dados de vulneráveis (incluindo crianças,

adolescentes ou idosos); ii) informações financeiras críticas (valor de remuneração, dados do Imposto de Renda, números de cartão de crédito e senha, entre outras); e iii) dados sensíveis (que englobam informações de saúde, biométricas, sobre a vida sexual, por exemplo).

Em tais situações, portanto, obrigatoriamente as empresas sofrerão sanções? Não. Em documento divulgado pela ANPD para Consulta Pública, há disposição de que as sanções mais gravosas serão o último recurso a ser tentado pela Autoridade, a qual buscará primeiramente mecanismos pedagógicos alternativos.

Naturalmente, quanto mais a empresa tiver capacidade de demonstrar seu esforço para adaptação à LGPD, menor a tendência de receber sanção – ou, se receber, poderá ser mais branda. 

Dessa forma, nem todo incidente deverá ser notado pela ANPD. Neste momento, portanto, entendemos que os esforços precisam estar voltados para adequar as corporações à LGPD, a fim de que a criação de governança em privacidade e proteção de dados leve tanto à diminuição de riscos aos titulares quanto à eficiência na resposta a incidentes de segurança da informação.

Por Vitória Ribeiro

Estagiária de Direito