Com a publicação, na última segunda-feira (27.02.2023), do regulamento que definiu as normas, critérios e forma de cálculo das sanções previstas na Lei, não há nada mais que impeça a autoridade de começar a punir os agentes que violem a LGPD, já que a elaboração do regulamento era um requisito previsto em seu artigo 53.

As infrações poderão ser classificadas em leves, médias ou graves. Na definição das sanções, a ANPD poderá considerar critérios que vão desde a gravidade da infração, natureza dos dados afetados e grau de dano, até as demonstrações da adoção de mecanismos e procedimentos internos voltados ao tratamento seguro e adequado dos dados, bem como de políticas de boas práticas e governança.

Poderão ser aplicadas todas as sanções já previstas na Lei Geral de Proteção de Dados Pessoais - LGPD, que são: 

• Advertência; 
• Multa simples, de até 2% (dois por cento) do faturamento da empresa, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais), por infração; 
• Multa diária, com limite total de R$ 50.000.000,00 (cinquenta milhões de reais); 
• Publicização da infração; 
• Bloqueio dos dados pessoais; 
• Eliminação dos dados pessoais; 
• Suspensão parcial do funcionamento do banco de dados por no máximo de 6 (seis) meses, prorrogável por igual período, até que se regularize a situação;  
• Suspensão do exercício da atividade de tratamento dos dados pessoais por no máximo de 6 (seis) meses, prorrogável por igual período;   
• Proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.

A partir de agora, portanto, é indispensável que as organizações estejam certas de que adotaram medidas efetivas para proteger os dados em todas as atividades que realizam, e consigam demonstrar que estão em compliance  com a LGPD.