De acordo com o artigo 52 da Lei n° 13.709/2018, se o agente responsável pelo tratamento de dados descumprir as regras estabelecidas por esta norma, ficará sujeito às seguintes penalidades em âmbito administrativo:
- advertência: Nessa situação, o agente fiscalizador proporcionará prazo para que o responsável pelo tratamento dos dados se adeque as medidas previstas na legislação;
- multa simples: A multa será de até 2% do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50 milhões por infração. Será definido, por regulamentação própria, a metodologia para o cálculo desta penalidade (artigo 53 da Lei n° 13.709/2018).
- multa diária: o agente fiscalizador poderá aplicar multa diária por descumprimento das medidas impostas até que a irregularidade seja sanada, a qual também estará limitada a R$ 50 milhões por infração. Sobre esta penalidade, o artigo 54 da Lei n° 13.709/2018, dispõe que o valor a ser aplicado deverá observar a gravidade da falta e a extensão do dano ou prejuízo causado e ser fundamentado pela autoridade nacional. E, ainda, antes da penalização, o infrator será intimado para cumprir, em prazo razoável, a obrigação imposta e, caso não cumpra no prazo estipulado, será aplicada a multa diária.
- publicização da infração: após devidamente apurada e confirmada a sua ocorrência, poderá o agente fiscalizador dar publicidade a informação, proporcionando que qualquer interessado tenha acesso a infração, bem como as medidas que foram aplicadas em virtude do seu descumprimento, observando-se o princípio da transparência, previsto no artigo 6º, inciso VI, da Lei nº 13.709/2018.
- bloqueio dos dados pessoais a que se refere a infração até a sua regularização, com a finalidade de conter a exposição dos dados.
- eliminação dos dados pessoais a que se refere a infração, de forma a garantir a exclusão do vazamento de informações pelo agente infrator.
- suspensão parcial do funcionamento do banco de dados a que se refere a infração, pelo período máximo de seis meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador. Nesse caso, todo o banco de dados do infrator ficará suspenso parcialmente, da forma a ser indicada pelo órgão fiscalizador, até que haja adequação dos procedimentos adotados pelo infrator.
- suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de seis meses, prorrogável por igual período;
- proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
As sanções de suspensão e proibição do exercício de atividades serão aplicadas (após já ter sido imposta, pelo menos, uma das penalidades indicas acima, ou seja, multa, puplicização, bloqueio dos dados ou eliminação de dados pessoais para o mesmo caso, nos termos do inciso I, do § 6º, do artigo 52, da Lei 13.709/2018.
Além das penalidades acima indicadas, poderá ser aplicado outras sanções administrativas, civil ou penais que serão definidas em legislação, de acordo com o artigo 53 da Lei n° 13.709/2018.
Para a fiscalização da LGPD foi criada a Autoridade Nacional de Proteção de Dados (ANPD), órgão da Presidência da República responsável por acompanhar e aplicar sanções descritas na lei. Dentre as principais atribuições da ANPD, podemos destacar:
- Estabelecimento de padrões técnicos;
- Determinação para a elaboração de Relatórios de Impacto;
- Fiscalização e aplicação de sanções, atividades de difusão e educação sobre a LGPD.
Independente do porte, as empresas deverão implementar sistemas para prevenir, detectar e resolver violações de dados pessoais.