LGPD: tudo pronto para as sanções administrativas
Depois de quase dois anos e meio desde sua entrada em vigor, está tudo pronto para que o descumprimento da Lei Geral de Proteção de Dados Pessoais (LGPD) seja reprimido, pela Autoridade Nacional de Proteção de Dados (ANPD), na esfera administrativa.
Para alguns, a ausência de notícias de multas ou sanções administrativas aplicadas pela ANPD era uma evidência de que a LGPD “não tinha pegado”, o que fez com que alguns projetos desacelerassem ou até não fossem iniciados. Tal ceticismo, contudo, pode custar caro, considerando que foi publicado, em 27/02/2023, o Regulamento de Dosimetria e Aplicação de Sanções Administrativas, norma essencial para que ANPD pudesse atuar com maior efetividade.
Contudo, não devemos colocar o carro na frente dos bois: um pequeno histórico da LGPD pode ser útil para compreensão do cenário atual, conforme veremos adiante.
A Lei 13.709, de 14 de agosto de 2018, mais conhecida como Lei Geral de Proteção de Dados Pessoais (LGPD), provocou um dos maiores reboliços jurídicos que se tem notícia nos últimos anos. Não sem motivo: a LGPD é uma lei que não encontra fronteiras em segmentos de negócios, tipos societários, natureza da pessoa jurídica ou qualquer coisa desse tipo. Para sua aplicação basta termos diante de nós dados pessoais, simples assim.
O mercado já estava avisado de que um dia a LGPD geraria seus efeitos com plenitude, mas muitas empresas e órgãos públicos parecem que aguardaram o início das sanções administrativas para de fato se preocuparem com o tema. Para ser mais claro, a LGPD entrou em vigor no dia 18 de setembro de 2020, ou seja, desde tal data todos os agentes de tratamento de dados pessoais já estavam sujeitos aos processos judiciais individuais ou coletivos que pudessem versar sobre os temas da nova lei. Contudo, o legislador entendeu por bem projetar a vigência das sanções administrativas para agosto de 2021, por meio da Lei 14.010, de 10 de junho de 2020. Tal fato fez com que os agentes tivessem uma falsa sensação de segurança, deixando seus projetos de adequação em segundo plano. Aí, com a pandemia e o caos político instalado no país, foi natural que o tema fosse entregue ao segundo escalão de prioridades.
Além disso, ainda que estivessem previstas as sanções administrativas, a LGPD delegou à ANPD regulamentar sua aplicação e dosimetria, que nada mais é do que calcular, considerando determinados critérios, qual deve ser o grau da punição do agente de tratamento.
O cenário atual é outro. Com a retomada da economia, a estabilização da pandemia, a vigência das sanções administrativas e o regulamento da dosimetria, não falta mais nada para que a ANPD comece a punir empresas e órgãos públicos.
As sanções administrativas previstas na LGPD variam, mas as mais graves podem resultar na quebra de um negócio. Quando dizemos mais graves não queremos dizer necessariamente aquelas que são pecuniárias (multas diárias ou simples). Imagine que um prestador de serviços seja penalizado com a sanção prevista no artigo 52, inciso IV, que prevê a “publicização da infração após devidamente apurada e confirmada a sua ocorrência”. Dependendo do segmento no qual atue, a perda dos contratos dos demais clientes pode ser consequência natural pois, quem confiaria em um prestador de serviços que não trata adequadamente os dados pessoais que lhe são confiados?
De toda a forma, o artigo 52 da LGPD prevê como sanções: a) advertência, com indicação de prazo para adoção de medidas corretivas; b) multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração; c) multa diária, observado o limite total a que se refere o inciso II; d) publicização da infração após devidamente apurada e confirmada a sua ocorrência; e) bloqueio dos dados pessoais a que se refere a infração até a sua regularização; f) eliminação dos dados pessoais a que se refere a infração; g) suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador; h) suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período; e, i) proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados. A escolha pela aplicação de qualquer delas, bem como os critérios de agravamento ou abrandamento da punição, constou no Regulamento publicado.
Há quem ainda acredite que as sanções serão aplicadas apenas em casos de vazamento de dados pessoais. Nada mais longe disso. Para citar um exemplo concreto, a violação do direito à imagem de um titular será considerada uma infração de gravidade média e, se não for sanada, poderá ser apenada com multa de até 0,5% sobre o faturamento do último exercício da empresa. Se pensarmos que o uso da imagem de um empregado ou cliente sem sua autorização ou outra base legal se enquadra na “violação do direito à imagem” dele (art. 8º, § 2º, Regulamento), poderemos perceber que o vazamento dos dados é só um dos problemas a serem tratados na adequação de uma empresa à LGPD.
Por outro lado, constou no Regulamento qual seria o abatimento na multa no caso de identificação de circunstâncias atenuantes, o que é uma boa notícia. Em outras palavras, o agente apenado com multa pode ter sua punição abrandada se caracterizada uma das hipóteses de circunstâncias atenuantes que foram regulamentas. Nesse sentido, a LGPD já tinha estabelecido como circunstância atenuante a adoção de “política de boas práticas e governança”, mas não tinha informado qual seria seu impacto. Com a vinda do Regulamento, a “implementação de política de boas práticas e de governança ou de adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar os danos aos titulares, voltados ao tratamento seguro e adequado de dados, até a prolação da decisão de primeira instância no âmbito do processo administrativo sancionador” pode render um desconto na multa de 20% (art. 13 do Regulamento).
Os exemplos acima destacam a importância do Regulamento, como norma que aumentará a segurança jurídica dos agentes de tratamento. Contudo, agora não há mais entrave para que a ANPD cumpra um dos seus papéis, que é fiscalizar o cumprimento da LGPD. Ou se leva a LGPD à sério definitivamente, ou as consequências podem ser desastrosas no futuro.
Desenvolvido por: Ricardo Oliveira
