A Lei de Proteção de Dados prevê um rol de sanções administrativas para aqueles que, sujeitos a legislação por coletarem e tratarem dados pessoais, violarem ou não observarem o que ela determina. São elas:

– advertência, com indicação de prazo para adoção de medidas corretivas;

– multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;

– multa diária, observado o limite total;

– publicização da infração;

– bloqueio dos dados pessoais a que se refere a infração até a sua regularização, ou eliminação desses dados.

Essas sanções serão aplicadas após procedimento administrativo que possibilite a oportunidade de ampla defesa ao infrator, de acordo com as peculiaridades de cada caso concreto, considerando:

– a gravidade e a natureza das infrações e dos direitos pessoais afetados;

– a boa-fé do infrator;

– a vantagem auferida ou pretendida pelo infrator e sua condição econômica;

– se o infrator já violou outras vezes a legislação (reincidência);

– o grau do dano suportado pelo titular;

– a cooperação do infrator;

– a proporcionalidade entre a gravidade da falta e a intensidade da sanção.

Além disso, será observado se o infrator adotou medidas e mecanismos internos capazes de minimizar o dano suportado pelo Titular.

Por fim, ressalta-se que as sanções aplicadas na lei de proteção de dados, não substitui a aplicação de possíveis sanções administrativas, civil ou penais próprias.