Em julho de 2019, a GDPR (a regulação geral de proteção de dados da União Europeia) pediu a maior multa da história da lei: 183 milhões de euros. A empresa multada foi a British Airways, companhia aérea inglesa. O motivo foi o seguinte: a empresa, por falha de segurança, vazou dados pessoais de mais de 500 mil clientes.

Ja faz algum tempo que a LGPD entrou em vigor, mas o assunto ainda continua gerando muitas dúvidas aos brasileiros. Quais multas são previstas na LGPD? Qual é a multa máxima que uma empresa pode receber? Qual é o prazo para um site se adequar e não ser multado?

Neste artigo responderemos todas as suas perguntas com relação às multas da Lei Geral de Proteção de Dados.

Na União Europeia, empresas podem ser penalizadas com uma multa de 20 milhões de euros ou até 4% do faturamento, aquilo que for maior. Como vimos, a British Airways teve um prejuízo de 183 milhões de euros pelo mau uso de dados.

A Alemanha multou em 1,5 mil dólares um policial que utilizou, para fins pessoais, a placa de carro de um cidadão para encontrar o número telefônico dele. Ou seja, não apenas grandes empresas que chamam atenção com seus erros e são penalizadas.

Mas e a nossa LGPD? Essas multas serão as mesmas na Lei Geral de Proteção de Dados, inspirada no regulamento europeu?

A LGPD deve ser acatada por inteiro, não em partes. A British Airways, por um deslize não proposital, foi multada em valor recorde.

Por isso, é de extrema importância que você leia tudo sobre a LGPD e se adeque o mais rápido possível. Toda empresa deverá ter um Encarregado de Proteção de Dados e é recomendável que utilize uma CMP, o que torna o trabalho muito mais fácil.

Deslizes maiores acarretarão em multas maiores; deslizes menores, obviamente, serão penalizados de forma diferente. A lei diz que os seguintes fatores serão levados em conta:

• A gravidade e a natureza das infrações e dos direitos pessoais afetados;

• A boa-fé do infrator;

• A vantagem auferida ou pretendida pelo infrator;

• A condição econômica do infrator;

• A reincidência;

• O grau do dano;

• A cooperação do infrator;

• A adoção de política de boas práticas e governança;

• A pronta adoção de medidas corretivas; e

• A proporcionalidade entre a gravidade da falta e a intensidade da sanção.

As sanções administrativas completas estão no artigo 52 da lei, que pode ser consultada aqui.

A LGPD prevê seis penalidades ou multas. São elas:

1. Advertência. Essa advertência virá com um prazo para que a empresa se adeque à legislação. Se não se corrigir no prazo estipulado, haverá penalidade.

2. Multa simples em cima do faturamento. Essa multa pode ser de até 2% do faturamento da pessoa jurídica. O limite é de 50 milhões de reais por infração.

3. Multa diária. Essa multa também será limitada a 50 milhões de reais.

4. Publicização da infração. A infração se tornará pública e os prejuízos à imagem da empresa poderão ser enormes.

5. Bloqueio dos dados pessoais. Essa sanção administrativa impede que as empresas utilizem os dados pessoais coletados até a situação se regularizar.

6. Eliminação dos dados pessoais. A sexta penalidade prevista na LGPD obriga a empresa a eliminar por completo os dados coletados em seus serviços, causando danos à operação da empresa.

O limite das multas na LGPD é de 50 milhões. Mas algumas das penalidades podem ser ainda piores, dependendo da empresa. Por exemplo, assumir publicamente o vazamento de dados pessoais de milhares de clientes pode derrubar até mesmo empresas sólidas, minando totalmente a credibilidade de uma marca.

Mas essas multas também se aplicam a negócios menores, com pequenas operações de tratamento de dados? Ou apenas a empresas grandes, como a British Airways e o Google?

A lei fala de “agentes de tratamento”. Qualquer site ou empresa que realiza coleta de dados se torna, automaticamente, um agente de tratamento.

Mas há exceções. São elas:

• Pessoas naturais que utilizem dados para fins particulares e não econômicos;

• Pessoas que utilizem dados para fins jornalísticos, artísticos ou acadêmicos;

• Agentes de segurança pública ou defesa nacional que utilizem dados para cumprir a lei.

Nestas hipóteses, não há a necessidade de um consentimento formal. Portanto, não existe a possibilidade de multa, tendo em vista que não infringem a lei.

Mas todo negócio, sem exceção, estará sujeito às multas assim que a lei entrar em vigor. Mas enquanto não entra você tem uma tarefa:

O prazo já acabou! A lei entrou em vigor em território nacional no dia 16 de agosto de 2020.

Se a sua empresa ainda não está adequada recomendamos que comece o quanto antes e obtenha o máximo de informações sobre a lei, para seu negócio não estar sujeito às multas e penalidades. Para entender melhor o regulamento, leia o artigo Tudo sobre a LGPD!