Boa-fé será determinante nas sanções da Lei Geral de Proteção de Dados
A Autoridade Nacional de Proteção de Dados (ANPD) deverá considerar a atitude do eventual infrator na análise, avaliação e dimensão das sanções previstas no artigo 52 da Lei Geral de Proteção de Dados (LGPD) para então aplicar penalidades.
Dentre os critérios para a aplicação das sanções administrativas previstas no artigo 52 da Lei Geral de Proteção de Dados (LGPD), que passam a fazer efeito a partir de 01 de agosto de 2021, está o princípio da boa-fé do eventual infrator.
Boa-fé é um conceito presente na doutrina do direito brasileiro e em vários documentos legais, a exemplo do Código de Defesa do Consumidor, do Código Civil, do Código de Processo Civil, e que consta também, explicitamente, na LGPD quando trata sobre a aplicação das sanções.
Atitude do infrator da LGPD será avaliada
No parágrafo primeiro do artigo 52, inciso II, está lá: a boa-fé do infrator.
O parágrafo informa ainda que as sanções ocorrerão depois de procedimento administrativo em que haja ampla defesa e serão aplicadas de forma gradativa, isolada ou cumulativa, a depender do caso concreto e segundo parâmetros e critérios de gravidade e natureza das infrações e dos direitos pessoais afetados, vantagem auferida ou pretendida pelo infrator, condição econômica, reincidência, grau do dano, cooperação, adoção reiterada e demonstrada de mecanismos e processos internos capazes de minimizar o prejuízo, adoção de política de boas práticas e governança, utilização imediata de medidas corretivas e proporcionalidade entre a gravidade da falta e a intensidade da sanção.
Fato é que a relevância de abordamos essa questão é óbvia, pois a ANPD entenderá como boa-fé a conduta da empresa ou organização que, mesmo na eventualidade de uma violação à LGPD, tenha colocado em prática iniciativas e medidas para a implantação de um programa de conformidade à lei. Isso demonstra interesse e boa vontade em se adequar, comprovando que os incidentes de segurança e vazamento de dados não aconteceram pela intenção ou posicionamento de forma proposital, ou seja, descaracterizando um comportamento negligente.
E como isso pode ser demonstrado à ANPD, aos órgãos de defesa do consumidor e ao Ministério Público com suas atuações em aplicar penalidades sob a égide das diretrizes da LGPD antes mesmo que a própria ANPD atue nesse sentido?
Embora, como já dito em publicações anteriores, seja bastante trabalhoso, a providência necessária e urgente é dedicar-se a um plano de adequação à LGPD o mais rápido possível, inclusive com a adoção de boas práticas de governança corporativa e de dados, o que engloba, conforme artigo 50 da lei, a organização do tratamento das informações, procedimentos, gerenciamento das reclamações e pedidos dos titulares de dados, medidas técnicas e administrativas adotadas, treinamento e ações educativas, mapeamento dos riscos e planos de ação para que sejam mitigados, programa de privacidade, auditorias para demonstrar a eficácia das ações definidas e da governança, planos de resposta a incidentes e formas para corrigir eventuais ocorrências, atualização constante de todos os itens, além do monitoramento permanente.
Tudo para que a empresa esteja apta a responder às demandas que tenham origem na ANPD ou em outras entidades que fiscalizam e garantem o cumprimento da LGPD.
Ainda acredita que não precisa estar em conformidade com essa lei?