A Lei nº 13.709/2018 – LGPD disciplina, em seus artigos 52 a 54, as sanções administrativas impostas para órgão e empresas que violarem as regras impostas à proteção dos dados dos titulares.
Dentre as penalidades previstas estão advertência, multa de até 2% do faturamento da empresa, no total a R$ 50 milhões por infração, multa diária de até R$ 50 milhões, publicização da infração, bloqueio de dados pessoais e eliminação do dos dados, suspender parcialmente o funcionamento do banco de dados por seis meses prorrogáveis até que se regularize a situação. E, na pior das hipóteses, pode ocorrer até mesmo a proibição parcial ou total de qualquer atividade relacionada a tratamento de dados.
Com exceção das punições financeiras, o ao Poder Público também pode sofrer todas as demais penalidades e o dinheiro arrecadado pelas multas será destinado ao Fundo de Defesa de Direitos Difusos.
É importante ressaltar que a ANPD, vinha sendo duramente criticada quanto a sua conduta adotada, uma vez que desde a publicação da Lei Geral de Proteção de Dados, não havia sido dado o pontapé inicial para que se iniciasse a fiscalização das atividades que utilizam tratamento de dados, não havendo, há mais de quatro anos, a atuação da Agência como agente fiscalizador e punitivo, restringindo-se apenas ao campo orientativo.
O advogado Alexandre Atheniense, um dos pioneiros do Direito Digital no país, entendeu que “o cenário mudou. Agora a ANPD já tem condições de começar a punir ou investigar via processos administrativos mais de 7.000 denúncias de incidentes relacionados com dados pessoais, bem como aplicar sanções em mais de 1.000 processos em curso de fiscalização.”
E, por ser um órgão fiscalizador, a ANPD precisa, obrigatoriamente, fundamentar qualquer decisão que tenha como efeito a aplicação de uma sanção administrativa, por este motivo, faltava essa apresentação clara dos critérios atenuantes ou agravantes que devem ser utilizados na determinação da penalidade aplicada, após a instauração de um processo administrativo sancionador que tenha seguido todos os trâmites necessários, assegurado ao agente o direito à ampla defesa e ao contraditório.
Por fim, no que tange à adequação às normas de proteção de dados, até então, muitas empresas estavam protelando essa implementação, já que ainda não havia a possibilidade concreta de serem punidas. Após a publicação do novo regulamento, é esperado que haja uma mudança na postura das empresas em relação à proteção de dados pessoais, principalmente quando as primeiras sanções forem aplicadas.
Acredita-se que a iminência das sanções previstas pela LGPD incentive as empresas e órgão públicos que ainda não iniciaram seus projetos de adequação a buscarem sua conformidade, para evitar impactos adversos significativos, tais como perda financeira e danos à reputação da empresa.