Blog
Tendência

LGPD e as Sanções Administrativas

A Lei Geral de Proteção de Dados Pessoais – LGPD dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou jurídica de direito público ou privado.

Essa lei traz diversos direitos aos titulares dos dados e por consequência, muitas obrigações e responsabilidades para as organizações no tratamento de dados pessoais.

Em especial, para cada tratamento de dados pessoais, será necessário eleger uma base legal que o justifique, dentro de um rol taxativo trazido pela lei (artigo 7º e 11).

Ainda, a lei traz vários princípios (artigo 6º) que devem ser observados: i) boa-fé no tratamento de dados, de acordo com uma finalidade específica e de forma adequada, ii) demonstração de sua necessidade, garantido o livre acesso e a qualidade dos dados; iii) tratamento com total transparência e segurança, inclusive adotando medidas preventivas; iv) vedação de tratamento de forma discriminatória; v) dever de prestação de contas e demonstração do cumprimento da lei, sob pena de responsabilização.

E a sua não observância pode gerar punições que vão desde multas pecuniárias até o bloqueio e/ou eliminação dos dados.

Para além das sanções administrativas a desconformidade com a LGPD também pode trazer grandes prejuízos jurídicos, financeiros e reputacionais.

Isto porque o titular de dados pode buscar a tutela do judiciário para uma reparação de danos, bem como, por haver na LGPD a previsão de publicização da infração após devidamente apurada e confirmada a sua ocorrência.

E quais são essas penalidades?

As punições administrativas, ou seja, aquelas que podem vir a ser aplicadas pela Autoridade Nacional de Proteção de Dados – ANPD, estão previstas nos artigos 52,53 e 54 da LGPD.

Observemos o artigo 52:

Art. 52. Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas nesta Lei, ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional:

  • advertência, com indicação de prazo para adoção de medidas corretivas;
  • multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
  • multa diária, observado o limite total a que se refere o inciso II;
  • publicização da infração após devidamente apurada e confirmada a sua ocorrência;
  • bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
  • eliminação dos dados pessoais a que se refere a infração;
  • suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;
  • suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período;
  • proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.

Advertência:

Há uma expectativa de que a Autoridade Nacional de Proteção de Dados Pessoais – ANDP inicie sua atuação com um viés orientativo e por isso, aplicando inicialmente apenas recomendações e advertências.

Multa pecuniária:

A multa de “50 milhões” sem dúvida é a mais propagada de todas as penalidades trazidas pela Lei, mas que demanda algumas explicações:

Note-se, desde já, que o valor de R$ 50 milhões é um subteto ao teto de 2% (dois por cento) proposto. Ou seja, pode-se aplicar multa de até 2% sobre o faturamento líquido do agente de tratamento, mas, quando esse percentual, em face de avolumado faturamento, for superior a R$ 50 milhões, reside aí o segundo limite para penalidade pecuniária.[1]

Como se pode ver, esse valor de cinquenta milhões é na verdade um patamar máximo e não uma regra para aplicação generalizada.

Deve-se considerar aqui também a possibilidade de aplicação de penalidades para pessoas físicas, pois a LGPD também se aplica a elas.

É o que se vê na leitura do artigo 1º que prevê a aplicação da lei para tratamento de dados pessoais por pessoa natural ou por pessoa jurídica de direito público ou privado.

O artigo 4º, que traz um rol para a exclusão de sua aplicação, declara que apenas o tratamento realizado por pessoa natural que seja para fins exclusivamente particulares e não econômicos, jornalístico, artísticos, e acadêmicos é que estaria afastado de sua aplicação.

Da mesma forma, ao conceituar os agentes de tratamento como controlador e operador (artigo 5º), a LGPD apresenta-os como pessoas naturais ou jurídicas.

Diante disso, é possível que em caso de desconformidade com a lei, um profissional autônomo, seja um contador ou um advogado por exemplo, sofram essas sanções, inclusive a pecuniária.

Multa diária

Além da multa de 2% do faturamento, a LGPD traz a possibilidade de aplicação de multa diária como mecanismo coercitivo para cumprimento de obrigação imposta.

No entanto, acredita-se que haja moderação e razoabilidade nessa aplicação, como se vê nesse precedente do STJ:

STJ: PROCESSUAL CIVIL. EXECUÇÃO. MULTA COMINATÓRIA. OBRIGAÇÃO PRINCIPAL. DESPROPORCIONALIDADE. REDUÇÃO. (…)Por outro lado, o montante da multa cominatória deve guardar proporcionalidade com o valor da obrigação principal cujo cumprimento se busca, sob pena de a parcela pecuniária ser mais atrativa ao credor que a própria tutela específica. 2. No caso, a obrigação principal era a entrega de veículo automotor orçado em cerca de R$ 22.000,00 (vinte e dois mil reais), tendo o montante da multa alcançado mais de R$ 455.000,00 (quatrocentos e cinquenta e cinco mil reais). 3. Agravo regimental não provido. (AgRg no REsp 1434469/MG, Rel. Ministro LUIS FELIPE SALOMÃO, QUARTA TURMA, julgado em 27/03/2014, DJe 04/04/2014).

Assim, acredita-se que devem ser utilizados limites de razoabilidade já sedimentados no ordenamento jurídico.

Bloqueio, eliminação e suspensão

Aqui vê-se aquelas penalidades que atingem diretamente o banco de dados e a atividade de tratamento, o que pode vir a ser um recurso relevante para “incentivar” o cumprimento das obrigações legais, como bem esclarece o trecho abaixo:

Note-se que medida dessa natureza, sobretudo adotadas em sede de cautelar, são aptas a estancar violações graves, respeitando o devido processo legal-administrativo[2].

Como bem observado nessa doutrina, tem-se na LGPD o mesmo tipo de possibilidade prevista no Marco Civil da Internet (artigo 12) e na Lei Geral de Telecomunicações (artigo 173), nessa última, conferida à Agência Nacional de Telecomunicações.

É certo que esses artigos (52,53 e 54) tiveram sua vigência adiada para dia 1º de agosto de 2021, em razão da Lei nº 14.010 de 2020 que alterou a LGPD. Porém, como já esclarecido, esse adiamento não impede que o titular dos dados busque tutela de outros órgãos administrativos ou até mesmo uma reparação judicial.

Porém, como já esclarecido, esse adiamento não impede que o titular dos dados busque tutela de outros órgãos administrativos ou até mesmo uma reparação judicial.

Desse modo, não é demais acreditar que seja possível a utilização de tais artigos como um parâmetro para outros órgão na análise da temática a questão.

Procedimento Administrativo e Contraditório

O paragrafo único do artigo cinquenta e dois da LGPD traz alguns critérios para análise e aplicação das sanções:

Art. 52
§ 1º As sanções serão aplicadas após procedimento administrativo que possibilite a oportunidade da ampla defesa, de forma gradativa, isolada ou cumulativa, de acordo com as peculiaridades do caso concreto e considerados os seguintes parâmetros e critérios:

Então, para aplicação das penalidades serão considerados os seguintes critérios atenuantes e agravantes:

I – a gravidade e a natureza das infrações e dos direitos pessoais afetados;
II – a boa-fé do infrator;
III – a vantagem auferida ou pretendida pelo infrator;
IV – a condição econômica do infrator;
V – a reincidência;
VI – o grau do dano;
VII – a cooperação do infrator;
VIII – a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados, em consonância com o disposto no inciso II do § 2º do art. 48 desta Lei;
IX – a adoção de política de boas práticas e governança;
X – a pronta adoção de medidas corretivas; e
XI – a proporcionalidade entre a gravidade da falta e a intensidade da sanção.

Segundo a doutrina, o legislador foi feliz em prever tais critérios:

Afinal, a LGPD não é uma lei exclusivamente voltada à proteção dos indivíduos titulares dos dados pessoais, mas ao estímulo à inovação e às liberdades econômicas.
Por isso, seu propósito não é punitivo, mas pedagógico, sendo esse seu direcionamento maior”.[3]

Assim, entende-se que a ANPD analisará o caso concreto e tomará as medidas baseada, por exemplo, no tipo de incidente, como um vazamento de dados, e quais foram as medidas adotadas para reverter ou mitigar os efeitos dos incidentes.

De tudo isso se extrai, como bem dito por Tarcísio Teixeira, a importância da elaboração do relatório de impacto de proteção de dados pessoais – RIPDP, previsto no artigo 38, podendo facilitar a adoção de medidas em menor tempo possível, contando inclusive para minimização da pena.

Art. 38. A autoridade nacional poderá determinar ao controlador que elabore relatório de impacto à proteção de dados pessoais, inclusive de dados sensíveis, referente a suas operações de tratamento de dados, nos termos de regulamento, observados os segredos comercial e industrial.
Parágrafo único. Observado o disposto no caput deste artigo, o relatório deverá conter, no mínimo, a descrição dos tipos de dados coletados, a metodologia utilizada para a coleta e para a garantia da segurança das informações e a análise do controlador com relação a medidas, salvaguardas e mecanismos de mitigação de risco adotados.

Também se evidencia a importância de medidas de segurança da informação, como a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados (artigo 52, §1º, VII), em consonância com o disposto no inciso II do § 2º do art. 48 desta Lei.

O artigo 46 da lei prevê que os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas para proteção dos dados pessoais de: i) acessos não autorizados; ii) situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.

E, quanto a isso, a ANPD poderá especificar quais seriam os padrões técnicos, o que ainda não se tem.

O mesmo artigo, no parágrafo segundo, afirma que essas medidas deverão ser observadas desde a fase de concepção do produto ou do serviço até a sua execução.

O artigo 48 prevê que o controlador deverá comunicar à ANPD e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.

Ainda diz que a comunicação será feita em prazo razoável, conforme definido pela Autoridade Nacional de Proteção de Dados Pessoais – ANPD.

No paragrafo segundo do artigo 48 vemos a possibilidade de publicização do fato, como se lê:

§ 2º A autoridade nacional verificará a gravidade do incidente e poderá, caso necessário para a salvaguarda dos direitos dos titulares, determinar ao controlador a adoção de providências, tais como:
I – ampla divulgação do fato em meios de comunicação; e
II – medidas para reverter ou mitigar os efeitos do incidente.

No artigo 49, tem-se a previsão de que os sistemas utilizados para o tratamento de dados pessoais devem ser estruturados de forma a atender aos requisitos de segurança, aos padrões de boas práticas e de governança e aos princípios gerais previstos na LGPD e às demais normas regulamentares.

E quais seriam essas boas práticas?

Boas Práticas de Governança

O artigo 50 e 51 tratam do que seriam essas boas práticas. Como bem esclarece a Dra. Patrícia Peck:

A instituição de medidas e regras de boas práticas e de governança é essencial para que todos os requisitos necessários à proteção de dados pessoais sejam efetivados.
Conforme os artigos 40,41,42 e 43, as medidas de boas práticas envolvem um sistema amplo e complexo de relações e previsões como instituição de mecanismo de educação e prevenção em face da segurança da informação, atuação de organismo de certificação e treinamento de equipes junto à atuação das autoridades supervisoras.[4]

Segundo Tarcísio Teixeira:

Como exemplo de boas práticas os agentes poderão adotar política de privacidade interna, instituir canais de denúncia para a proteção de dados, promover ações educativas e treinamentos, criar manuais para rotina de vazamento de dados, planos de vazamento de dados, de forma a engajar todos os setores de uma empresa para a política de proteção de dados pessoais.

Como se pode extrair, para que a organização possa estar preparada para um programa de adequação à LGPD, a adoção de processos bem mapeados, organizados e padronizados será de grande importância.

Sem conhecer suas próprias rotinas será mais complicado demonstrar que de fato há uma prática de proteção de dados incutida na organização.

E como se viu bem, o treinamento e o engajamento de todos nessa nova cultura será crucial.

Conclusão

Pode-se dizer por certo que apesar de não se ter uma Autoridade Nacional de Proteção de Dados – ANPD atuante, isso não significa ausência de sanção por outros órgãos, tais como Procon, Delegacia Regional do Trabalho, Ministérios Públicos e Judiciário na tutela dos direitos dos titulares.

Assim, apesar de as penalidades estarem previstas para vigência em agosto de 2021, há muitas razões para imediata adequação à LGPD.

Cumpre destacar que a lei trouxe diversos regramentos: quais são as sanções previstas, quais os critérios para adoção, inclusive já considerando atenuantes e agravantes. E isso pode ser um bom indicativo para observação por outros órgãos e não somente para a ANPD.

Pode-se também observar a relevância da adoção de medidas técnicas e administrativas de segurança da informação, como a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar danos.

E com especial relevância, a adoção de política de boas práticas e governança de dados pessoais.

Conclui-se então que mais do que contratar empresas para “tocarem” um projeto de adequação nas organizações, será necessária uma mudança de “cultura”, que possibilite a adoção interna de um programa de proteção de dados pessoais.


[1] e [2] LGPD: Lei Geral de Proteção de Dados comentada/Viviane Nóbrega Maldonado, Renato Opice Blum, coordenadores. – São Paulo: Thomson Reuters Brasil, 2019.

[3] Lei Geral de Proteção de Dados Pessoais: Comentada artigo por artigo/Tarcisio Teixeira; Ruth Maria Guerreiro da Fonseca Armelin – Salvador: Editora JusPodium, 2019.

[4] Proteção de Dados Pessoais: comentários à Lei n. 13.709/2018 (LGPD) / Patrícia Peck Pinheiro. – São Paulo: Saraiva Educação.2018

Fonte
Diana Santana
Botão Voltar ao topo