A Lei Geral de Proteção de Dados (LGPD – Lei 13.709/2018) que entrará em vigor a partir de agosto de 2020 tem causado temor a empresários e profissionais autônomos que utilizam de dados pessoais em suas atividades laborais, principalmente no que tange as sanções administrativas em decorrência de um tratamento inadequado destes dados. De acordo com dados divulgados pelo Serasa, cerca de 85% das empresas não estão prontas para a LGPD.

A nova legislação tem como objetivo a proteção dos dados pessoais de clientes, fornecedores, colaboradores, prestadores de serviços e outros possíveis cadastros físicos e virtuais, para que não sejam extraídos e distribuídos sem a prévia autorização de seus titulares. São regulamentos precisos sobre os processos de coleta, armazenamento e compartilhamento.

No presente artigo faremos uma enumeração das sanções definidas na nova legislação, bem como exemplificar os principais pontos e intenções do legislador ao materializá-las no ordenamento jurídico pátrio. Acompanhe!

SANÇÕES ADMINISTRATIVAS

As sanções estão previstas no Artigo 52 da Lei, aplicáveis pela Autoridade Nacional de Proteção de Dados (ANPD), órgão da administração direta federal responsável pela edição e, principalmente, a fiscalização das normas e procedimentos sobre a transferência de dados no país. A ANPD é composta por um Conselho Diretor, um Conselho Nacional de proteção de Dados Pessoais e da Privacidade, Corregedoria, Ouvidoria, um órgão de assessoramento jurídico próprio e unidades administrativas e unidades especializadas necessárias à aplicação da LGPD.

I – advertência, com indicação de prazo para adoção de medidas corretivas;

É uma penalidade que “ipsis litteris” copia o artigo 12, inciso I do Marco Civil da Internet (Lei 12.965/2014), ou seja, sem grandes inovações para o ordenamento jurídico brasileiro.

II – multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;

A aplicação da penalidade pecuniária de multa simples levanta questionamentos sociais relevantes, vez que possuí um impacto patrimonial, tendo como principais parâmetros valor: até 2%, respeitado o limite de R$50 milhões; a base de cálculo, por meio do faturamento do último exercício, excluídos os tributos; o destinatário: pessoa jurídica de direito privado, grupo ou conglomerado no Brasil, e por último a recorrência da infração.

Cabe destacar que ainda que se queira entender fragilizado o poder de polícia da ANPD em face da instrumentalidade pecuniária mais simples que a de outras regulações, há que se considerar o aspecto reputacional da proteção de dados, além da irradicação de responsabilidade civil na cadeia de tratamento de dados pessoais, dessa maneira, houve preocupação em limitar o poder arrecadatório da ANPD, de maneira a não se criar um estímulo a chamada “indústria da multa”.

III – multa diária, observado o limite total a que se refere o inciso II;

Possui uma natureza distinta da multa simples definida no inciso II, pois advém de descumprimento de cominação legal ou cominação proferida por autoridade pública, vez que é um instrumento coercitivo para cumprimento de uma obrigação imposta.

IV – publicização da infração após devidamente apurada e confirmada a sua ocorrência;

Penalidade que possuí um efeito de reputação do agente, pois importa na sua exposição pública, por imposição da ANPD, após processo administrativo, onde são apuradas e confirmadas a(s) sua(s) conduta(s) infratora(s).

Podemos destacar que o responsável pela publicização será o próprio agente de tratamento condenado administrativamente, devendo arcar com tais custos, o que pode agravar a pena, tendo em vista os altos custos para se publicar em jornais e mídias televisivas, penalidade que caberá à ANPD delimitar melhor os seus contornos.

V – bloqueio dos dados pessoais a que se refere a infração até a sua regularização;

O bloqueio a que se refere o inciso equivale a uma limitação temporária do tratamento de dados até que o agente regularize determinada situação.

VI – eliminação dos dados pessoais a que se refere a infração;

Equivale-se ao apagamento definitivo dos dados, devendo, tão somente, assegurar a plenitude desse tratamento, de maneira a que não se recuperem os dados por métodos e tecnologias capazes de recuperar os dados excluídos.

VII; VIII; IX – (VETADOS).

X – suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;

É considerada uma penalidade atípica, pois incide sobre a base de dados, não sobre a atividade de tratamento ou sobre a pessoa do agente de tratamento.

XI – suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período;

É uma penalidade que possibilita uma atuação extremamente relevante para o Estado fiscalizador, vez que em sede cautelar, é apta a estancar violações graves, respeitado o devido processo legal-administrativo.

XII – proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.

No mesmo sentido da penalidade prevista no inciso anterior, é um importante instrumento para o Estado fiscalizador, principalmente em um sistema punitivo ideal, cujo objetivo é assegurar “o máximo grau de racionalidade e confiabilidade do juízo e, portanto, de limitação do poder punitivo e de tutela da pessoa contra a arbitrariedade”.

CRITÉRIOS PARA APLICAÇÃO DAS SANÇÕES

Ante todas as sanções expostas, cumpre destacar a forma e os critérios para que elas sejam aplicadas pela ANPD, conforme se encontra definido no parágrafo primeiro do artigo 52, conforme abaixo:

§ 1º As sanções serão aplicadas após procedimento administrativo que possibilite a oportunidade da ampla defesa, de forma gradativa, isolada ou cumulativa, de acordo com as peculiaridades do caso concreto e considerados os seguintes parâmetros e critérios:

I – a gravidade e a natureza das infrações e dos direitos pessoais afetados;

II – a boa-fé do infrator;

III – a vantagem auferida ou pretendida pelo infrator;

IV – a condição econômica do infrator;

V – a reincidência;

VI – o grau do dano;

VII – a cooperação do infrator;

VIII – a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados, em consonância com o disposto no inciso II do § 2º do art. 48 desta Lei;

IX – a adoção de política de boas práticas e governança;

X – a pronta adoção de medidas corretivas; e

XI – a proporcionalidade entre a gravidade da falta e a intensidade da sanção.

Desta forma, o que se percebe após análise das sanções administrativas acima expostas, é de que a LGPD não é exclusivamente uma lei voltada à proteção dos indivíduos titulares de dados pessoais, mas ao estímulo à inovação e às liberdades econômicas, o que fica claro após a leitura dos incisos do parágrafo 1º do artigo 52, vez que estimulam a adoção de programas de governança de privacidade, cultura corporativa, boas práticas em privacidade e proteção de dados, além de ser uma regulação, sugere como forma premiativa, que o bom comportamento também significa adoção de métodos preventivos e corretivos de problemas.

Importante instrumento materializado na Lei é o que se encontra disposto no artigo 53, que impõe à ANPD a obrigação de definir, por meio de regulamento próprio sobre as sanções administrativas, as metodologias que orientarão o cálculo do valor-base das sanções de multa, que deverá ser objeto de consulta pública, uma vez que racionaliza e torna transparente o processo regulamentador que dará ensejo à edição de normas complementares sobre a fixação de multas.

Art. 53. A autoridade nacional definirá, por meio de regulamento próprio sobre sanções administrativas a infrações a esta Lei, que deverá ser objeto de consulta pública, as metodologias que orientarão o cálculo do valor-base das sanções de multa.

A adequação à nova Legislação não será tarefa fácil, porém a falta dela poderá importar em prejuízos incomensuráveis. Ponderando-se que o compliance tem objetivos tanto preventivos, quanto reativos, tais danos podem ser consideravelmente reduzidos.

Portanto, ante todo o exposto acima, percebe-se que o propósito da nova legislação não é punitivo, mas pedagógico, sendo esse seu direcionamento maior, o que fica claro quando da análise dos seus diversos critérios atenuantes e agravantes, norteadores da atividade sancionatória. No entanto, devem os agentes que utilizam o tratamento de dados nas suas atividades, adequar os seus processos internos e criar a cultura de gestão de dados. Para a adequação dos processos internos das empresas à LGPD é necessário o comprometimento e empenho de todos os colaboradores. A área jurídica e de tecnologia da informação (TI) são fundamentais para a implementação eficaz de procedimentos que visam combater essa adversidade e atenuar os danos advindos de um vazamento de dados.