Multas LGPD: Já começaram? Qual é o valor? Como me proteger?

Desde agosto de 2021, a Autoridade Nacional de Proteção de Dados (ANPD) já permitia denunciar infrações de empresas que violavam a Lei Geral de Proteção de Dados (LGPD).

Porém, o que muitos ainda não sabiam é que as multas LGPD só começariam a ser aplicadas após o estabelecimento do relatório de dosimetria – o cálculo feito pela ANPD para definir as proporções da punição.

E agora chegou o momento: a dosimetria está pronta, e já está valendo! Desde o início de fevereiro de 2023, você já pode ser multado se infringir a LGPD.

Quais serão as multas aplicadas? E os critérios estabelecidos? Será que sua empresa está seguindo os regulamentos da lei?

Siga no texto para saber mais!

O que é a LGPD?

A Lei Geral de Proteção de Dados, ou LGPD, é uma lei criada para garantir a segurança de dados de pessoas físicas. Ela exige que as empresas brasileiras prestem contas sobre a finalidade dos dados que coletam de seus clientes e informem de que maneira esses dados são armazenados e protegidos.

Com a lei aprovada em 2018, as multas da LGPD começam a ser aplicadas em agosto de 2021. Originalmente, as empresas teriam um prazo de 2 anos para se adequar, mas, por conta da pandemia, esse prazo acabou aumentando em mais 1 ano.

A LGPD foi inspirada pelo modelo europeu, a General Data Protection Regulation (GDPR), que, segundo a Deloitte, chegou a aplicar um total de 359 milhões de euros em multas durante o seu primeiro ano de validade.

Esse texto fica muito melhor quando apoiado pelo nosso texto principal sobre a LGPD: é um aulão completo com todos os pontos da LGPD bem detalhados. 

Conheça alguns conceitos básicos da LGPD, listados neste infográfico:

A ANPD já está aplicando multas LGPD? 

Sim, desde 1º de fevereiro de 2023, as multas da LGPD podem ser aplicadas.

Não que os processos e denúncias estivessem parados esse tempo todo, na verdade, desde 1º de agosto de 2022, empresas têm sido processadas.

Segundo o diretor-presidente da ANPD, Waldemar Gonçalves Ortunho, em entrevista para o jornal Poder 360, 26 processos para apuração de infrações tramitam na ANPD desde agosto de 2022.

Porém, as punições não poderiam ser aplicadas em massa, pois ainda não havia o relatório de dosimetria para auxiliar no julgamento e condenação, se fosse o caso. 

Isso porque a dosimetria está aí para garantir a proporcionalidade das penalidades, seguindo o porte da empresa e o tipo de infração.

Agora, o cenário muda, pois o relatório está pronto e as denúncias seguem sendo feitas.

🔎Leia também: Geração de Leads:O Guia Completo

Multas da LGPD começam a ser aplicadas em fevereiro de 2023.

Com o relatório de dosimetria pronto, além de iniciar a aplicação de multas para os infratores da LGPD, fica mais fácil para empresários entender como e quais sanções serão feitas, caso a empresa infrinja a lei.

Agora, o regulamento estabelece alguns critérios, dentre eles são separados três tipos de infração à LGPD:

• Infração Leve;
• Infração Média;
• Infração Grave.

Essas categorias têm impactos no cálculo do valor-base das penalidades – é por isso que as multas ainda não estavam sendo aplicadas em massa.

Agora que já temos tudo nos trilhos e os critérios funcionando muito bem, vamos entender como são as multas na LGPD?

Como funcionam as multas da LGPD?

Além de escalar as denúncias nos três critérios que citamos acima, as sanções para os infratores da LGPD estão dividas em advertência, multas, bloqueios e eliminação dos dados.

Vamos detalhá-las logo abaixo, olha só:

Advertência

Como o próprio nome já diz, essa sanção tem um teor mais de aviso.

Ou seja, será realizada uma advertência que virá com um prazo para adequação da empresa sob a LGPD. 

Caso não haja uma correção no prazo estabelecido, aí sim haverá uma penalidade.

Multa simples

Se você não cumprir o prazo estabelecido na advertência, terá que arcar com a multa LGPD.

Está primeira é chamada de multa simples, ela é aplicada em cima do faturamento da empresa, podendo ser de até 2% da receita do CNPJ.

Seu limite é de 50 milhões de reais por infração.

Multa diária

A multa diária segue os mesmos valores multa simples – até 2% do faturamento líquido da empresa – e tem o mesmo limite de 50 milhões de reais. 

Devido aos valores altos, especialistas apontam que essa sanção tem grande potencial de gerar danos econômicos irreparáveis as empresas, então fique atento.

Publicização

Essa sanção tornará pública a infração da empresa. Ou seja: sua condenação é divulgada no Diário Oficial da União. 

Ou seja, haverá prejuízos à imagem da empresa e toda uma repercussão negativa envolvendo a marca e seus consumidores.

Bloqueio dos dados pessoais

Esse tipo de sanção pode não doer no bolso, mas impede que as empresas utilizem os dados pessoais já coletados até regularizar a situação.

Ou seja, você terá muito mais dificuldade em seguir com uma boa experiência do usuário, além de complicar as estratégias de marketing e vendas

Eliminação dos dados pessoais

Aqui você será obrigado a deletar por completo os dados coletados em seus serviços.

Mais uma vez, pode não afetar diretamente seu orçamento, mas causará danos irreparáveis aos fluxos e processos da sua empresa. 

Bases legais da LGPD

Dentro da Lei Geral de Proteção de Dados existem hipóteses que podem ser aplicadas para liberação da coleta, armazenamento e processamento de dados dos usuários.

Chamadas de “bases legais”, elas se dividem em 10 – das quais 3 são diretamente aplicáveis para fins de Marketing e Vendas:

• Consentimento
• Contrato
• Legítimo interesse

Vamos abordar cada uma delas em detalhes.

Consentimento

A base legal de consentimento é talvez a mais clara entre elas. Esse tipo de autorização para armazenamento e uso de dados acontece quando o lead, no momento da conversão, informa se deseja ou não receber comunicações da empresa fora daquele contexto inicial de conversão.

O consentimento é um aceite claro e inequívoco de que a pessoa concorda com o que a empresa está propondo através do uso e armazenamento dos seus dados pessoais. 

Contratos

No caso da base legal através de contratos, o aceite para a coleta, armazenamento e uso de dados pode acontecer em dois momentos:

• Quando os dados pessoais são processados como parte da obrigação prevista em contrato;
• Quando o tratamento de dados serve para a validação ou início da vigência de um contrato.

Legítimo interesse

O legítimo interesse é a base legal mais flexível, pois seu entendimento está relacionado a interpretações específicas de acordo com o uso de dados de cada empresa. 

Esse tipo de base permite a coleta e armazenamento de dados sem que seja necessário o consentimento explícito da pessoa, mas ela não pode ser aplicada sem regras ou critérios. 

Legítimo Interesse para estratégias de Marketing

O legítimo interesse pode ser útil para algumas iniciativas de marketing e vendas, quando não existe uma cláusula em contrato que preveja o uso de dados ou quando a empresa não tem o consentimento claro em uma conversão.

Lembrando que práticas como compra de listas de contatos e compartilhamento de listas entre empresas sem autorização prévia não se qualificam como legítimo interesse. 

Quando é possível utilizar a base do legítimo interesse?

Existem alguns fatores que possibilitam o uso desse tipo de base, sobretudo quando o consentimento for muito difícil de ser obtido, quando ele for considerado desnecessário ou ainda quando impacto mínimo no indivíduo ou uma justificativa convincente para a utilização dos dados do mesmo. 

Para que o legítimo interesse possa ser aplicado existe ainda mais um fator importante: o teste de proporcionalidade. É ele o documento de análise e viabilização do uso dessa opção de base legal.

Como fazer o teste de proporcionalidade

O objetivo do teste de proporcionalidade é equilibrar os interesses da empresa com os interesses do consumidor ou usuário. O teste é composto por quatro etapas:

• Legitimidade do interesse: deve ser documentada a finalidade do uso de dados e explicado o que torna de legítimo interesse do consumidor ou usuário que os dados sejam processados da forma que a empresa pretende fazer;
  
• Necessidade: os dados armazenados e processados em ações devem ser poucos e apenas o mínimo necessário para a finalidade descrita.
  
• Balanceamento: é preciso também levar em consideração as expectativas, direitos e liberdades fundamentais dos contatos, para provar que a empresa não pretende utilizar os dados de maneira invasiva, discriminatória ou com critérios questionáveis.
  
• Salvaguardas: nessa fase entram as declarações e provas de que mecanismos serão empregados pela marca para que os dados estejam protegidos, não sejam utilizados de forma indevida e que seja garantida a vontade de um lead de sair da lista de contatos. 

Por ser algo mais complexo e por levar em conta detalhes bastante específicos de cada empresa e de cada aplicação dos dados coletados, recomenda-se a procura por uma assessoria jurídica ou o auxílio de um profissional especialista em dados.  

O que muda com a LGPD?

Segundo esta reportagem do portal Tech Tudo, 

“O principal impacto da LGPD para o usuário comum é a garantia do direito à privacidade e o controle mais rigoroso sobre suas informações pessoais. Frequentemente, empresas solicitam dados em formulários, mas não deixam claro se eles serão utilizados, de que forma e para qual finalidade. Da mesma forma, essa concessão não podia ser desfeita até então. Com a nova lei, esse processo será obrigatoriamente mais transparente e o cidadão terá direito de solicitar sua exclusão das bases de dados de empresas com as quais não quer mais se relacionar.”

Já as empresas terão que adaptar suas atividades para garantir a segurança de dados dos usuários. Todas as informações sensíveis, que possam ser utilizadas para identificar o cliente, precisam contar com uma política de privacidade. 

Essa política deve detalhar como serão utilizadas as informações, como os arquivos são armazenados e protegidos no sistema e quem tem acesso a eles (usuários e outras empresas).

Sua empresa pode ser multada?

Sim, todas as empresas que não estiverem em conformidade com a legislação estão sujeitas às multas da LGPD, bloqueios, suspensões, proibições do exercício de suas atividades e processo judicial por vazamento de informações.

As multas aplicadas podem chegar a 2% do faturamento da empresa, com um limite de R$ 50 milhões por infração cometida. Mas não se desespere ainda.

De acordo com Luís Fernando Prado, advogado especialista em proteção de dados pessoais que fala para esta reportagem do site Consumidor Moderno, há uma expectativa de que:

“(A ANPD) vai preferir uma abordagem mais educativa no início, pois ela sabe e reconhece que precisa esclarecer alguns pontos da LGPD. (…) Quanto mais a empresa colaborar, há menos chance de ela tomar uma sanção de início”.

Além disso, qualquer problema em relação ao uso de dados pessoais deve ser tratado pelo usuário primeiramente com a empresa. A ANPD vai agir como uma segunda instância, a partir de denúncias dos consumidores que não tiveram seus problemas solucionados.

LGPD: Como se adequar?

Para evitar que a sua empresa tenha problemas com as multas da LGPD, listamos algumas orientações básicas. Confira a seguir:

1. Crie uma Política de Privacidade transparente quanto ao uso dos dados coletados pela empresa

Sempre que a empresa solicitar dados que possam ser utilizados para identificar os usuários (como nome, e-mail, telefone, documentos pessoais etc), é preciso que o consumidor tenha acesso e esteja de acordo com a política de privacidade da empresa.

Por isso, é essencial desenvolver uma política transparente, que informe os usuários de que forma os dados são utilizados, armazenados e protegidos – além de informar quem terá acesso a essas informações, prevenindo vazamentos.

Se você utiliza os cookies do seu site em campanhas de mídia ou para definir estratégias de marketing, também vale a pena inserir um aviso em seu endereço, uma vez que os usuários podem ser identificados a partir do IP.

🔎Leia também: Otimização de Site: É Melhor Focar em SEO ou Conversão?

2. Minimize a quantidade de dados solicitada aos usuários, apenas o essencial

Solicitar muitos dados em formulários já era uma prática prejudicial para as suas taxas de conversão. Agora, sua empresa tem mais um motivo para rever a quantidade de dados que é solicitada aos usuários.

Por exemplo, se 100% da comunicação da sua empresa acontece por e-mail marketing, para que solicitar o telefone do cliente? Quanto menos dados a sua organização tiver para armazenar, tratar, proteger e se responsabilizar, melhor. Exija apenas o essencial.

3. Invista em sistemas de conexão e armazenamento seguro

Nos últimos anos, acompanhamos na mídia diversos problemas causados por vazamento de dados – até mesmo em grandes organizações. Para que isso não aconteça com a sua empresa, é preciso investir em sistemas de conexão e armazenamento seguros.

4. Desenvolva uma política interna eficaz, controlando o acesso aos dados

Além de desenvolver sistemas seguros, é preciso controlar quem tem acesso às informações de clientes, como funcionários ou parceiros de outras empresas. 

Faça o seguinte questionamento: “Todos os colaboradores da companhia precisam ter acesso a estes dados?” Se a resposta for não, você pode pensar em limitar as informações a usuários específicos.

5. Crie campanhas de conscientização sobre o uso e divulgação de dados

Agora que você já definiu quem tem acesso a quais informações, é preciso educar a empresa sobre o uso de dados. Considere desenvolver campanhas de conscientização e adicionar termos de privacidade ao contrato dos colaboradores.

Clientes Leadster: Como adequar o seu chatbot à LGPD?

Também trouxemos uma dica extra para as empresas parceiras da Leadster: para que o seu chatbot esteja de acordo com a LGPD, basta inserir o link para a Política de Privacidade da sua empresa na hora de finalizar a configuração dos fluxos, na aba “Integre com seus sistemas”.

A imagem abaixo ilustra o processo:

Se precisar de ajuda, entre em contato com o nosso suporte ao cliente!