A Lei Geral de Proteção de Dados Pessoais – LGPD dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou jurídica de direito público ou privado.
Essa lei traz diversos direitos aos titulares dos dados e por consequência, muitas obrigações e responsabilidades para as organizações no tratamento de dados pessoais.
Em especial, para cada tratamento de dados pessoais, será necessário eleger uma base legal que o justifique, dentro de um rol taxativo trazido pela lei (artigo 7º e 11).
Ainda, a lei traz vários princípios (artigo 6º) que devem ser observados: i) boa-fé no tratamento de dados, de acordo com uma finalidade específica e de forma adequada, ii) demonstração de sua necessidade, garantido o livre acesso e a qualidade dos dados; iii) tratamento com total transparência e segurança, inclusive adotando medidas preventivas; iv) vedação de tratamento de forma discriminatória; v) dever de prestação de contas e demonstração do cumprimento da lei, sob pena de responsabilização.
E a sua não observância pode gerar punições que vão desde multas pecuniárias até o bloqueio e/ou eliminação dos dados.
Para além das sanções administrativas a desconformidade com a LGPD também pode trazer grandes prejuízos jurídicos, financeiros e reputacionais.
Isto porque o titular de dados pode buscar a tutela do judiciário para uma reparação de danos, bem como, por haver na LGPD a previsão de publicização da infração após devidamente apurada e confirmada a sua ocorrência.
E quais são essas penalidades?
As punições administrativas, ou seja, aquelas que podem vir a ser aplicadas pela Autoridade Nacional de Proteção de Dados – ANPD, estão previstas nos artigos 52,53 e 54 da LGPD.
Observemos o artigo 52:
Art. 52. Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas nesta Lei, ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional:
- advertência, com indicação de prazo para adoção de medidas corretivas;
- multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
- multa diária, observado o limite total a que se refere o inciso II;
- publicização da infração após devidamente apurada e confirmada a sua ocorrência;
- bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
- eliminação dos dados pessoais a que se refere a infração;
- suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;
- suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período;
- proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
Advertência:
Há uma expectativa de que a Autoridade Nacional de Proteção de Dados Pessoais – ANDP inicie sua atuação com um viés orientativo e por isso, aplicando inicialmente apenas recomendações e advertências.
Multa pecuniária:
A multa de “50 milhões” sem dúvida é a mais propagada de todas as penalidades trazidas pela Lei, mas que demanda algumas explicações:
Note-se, desde já, que o valor de R$ 50 milhões é um subteto ao teto de 2% (dois por cento) proposto. Ou seja, pode-se aplicar multa de até 2% sobre o faturamento líquido do agente de tratamento, mas, quando esse percentual, em face de avolumado faturamento, for superior a R$ 50 milhões, reside aí o segundo limite para penalidade pecuniária.[1]
Como se pode ver, esse valor de cinquenta milhões é na verdade um patamar máximo e não uma regra para aplicação generalizada.
Deve-se considerar aqui também a possibilidade de aplicação de penalidades para pessoas físicas, pois a LGPD também se aplica a elas.
É o que se vê na leitura do artigo 1º que prevê a aplicação da lei para tratamento de dados pessoais por pessoa natural ou por pessoa jurídica de direito público ou privado.
O artigo 4º, que traz um rol para a exclusão de sua aplicação, declara que apenas o tratamento realizado por pessoa natural que seja para fins exclusivamente particulares e não econômicos, jornalístico, artísticos, e acadêmicos é que estaria afastado de sua aplicação.
Da mesma forma, ao conceituar os agentes de tratamento como controlador e operador (artigo 5º), a LGPD apresenta-os como pessoas naturais ou jurídicas.
Diante disso, é possível que em caso de desconformidade com a lei, um profissional autônomo, seja um contador ou um advogado por exemplo, sofram essas sanções, inclusive a pecuniária.
Multa diária
Além da multa de 2% do faturamento, a LGPD traz a possibilidade de aplicação de multa diária como mecanismo coercitivo para cumprimento de obrigação imposta.
No entanto, acredita-se que haja moderação e razoabilidade nessa aplicação, como se vê nesse precedente do STJ:
STJ: PROCESSUAL CIVIL. EXECUÇÃO. MULTA COMINATÓRIA. OBRIGAÇÃO PRINCIPAL. DESPROPORCIONALIDADE. REDUÇÃO. (…)Por outro lado, o montante da multa cominatória deve guardar proporcionalidade com o valor da obrigação principal cujo cumprimento se busca, sob pena de a parcela pecuniária ser mais atrativa ao credor que a própria tutela específica. 2. No caso, a obrigação principal era a entrega de veículo automotor orçado em cerca de R$ 22.000,00 (vinte e dois mil reais), tendo o montante da multa alcançado mais de R$ 455.000,00 (quatrocentos e cinquenta e cinco mil reais). 3. Agravo regimental não provido. (AgRg no REsp 1434469/MG, Rel. Ministro LUIS FELIPE SALOMÃO, QUARTA TURMA, julgado em 27/03/2014, DJe 04/04/2014).
Assim, acredita-se que devem ser utilizados limites de razoabilidade já sedimentados no ordenamento jurídico.
Bloqueio, eliminação e suspensão
Aqui vê-se aquelas penalidades que atingem diretamente o banco de dados e a atividade de tratamento, o que pode vir a ser um recurso relevante para “incentivar” o cumprimento das obrigações legais, como bem esclarece o trecho abaixo:
Note-se que medida dessa natureza, sobretudo adotadas em sede de cautelar, são aptas a estancar violações graves, respeitando o devido processo legal-administrativo[2].
Como bem observado nessa doutrina, tem-se na LGPD o mesmo tipo de possibilidade prevista no Marco Civil da Internet (artigo 12) e na Lei Geral de Telecomunicações (artigo 173), nessa última, conferida à Agência Nacional de Telecomunicações.
É certo que esses artigos (52,53 e 54) tiveram sua vigência adiada para dia 1º de agosto de 2021, em razão da Lei nº 14.010 de 2020 que alterou a LGPD. Porém, como já esclarecido, esse adiamento não impede que o titular dos dados busque tutela de outros órgãos administrativos ou até mesmo uma reparação judicial.
Porém, como já esclarecido, esse adiamento não impede que o titular dos dados busque tutela de outros órgãos administrativos ou até mesmo uma reparação judicial.
Desse modo, não é demais acreditar que seja possível a utilização de tais artigos como um parâmetro para outros órgão na análise da temática a questão.
Procedimento Administrativo e Contraditório
O paragrafo único do artigo cinquenta e dois da LGPD traz alguns critérios para análise e aplicação das sanções:
Art. 52
§ 1º As sanções serão aplicadas após procedimento administrativo que possibilite a oportunidade da ampla defesa, de forma gradativa, isolada ou cumulativa, de acordo com as peculiaridades do caso concreto e considerados os seguintes parâmetros e critérios:
Então, para aplicação das penalidades serão considerados os seguintes critérios atenuantes e agravantes:
I – a gravidade e a natureza das infrações e dos direitos pessoais afetados;
II – a boa-fé do infrator;
III – a vantagem auferida ou pretendida pelo infrator;
IV – a condição econômica do infrator;
V – a reincidência;
VI – o grau do dano;
VII – a cooperação do infrator;
VIII – a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados, em consonância com o disposto no inciso II do § 2º do art. 48 desta Lei;
IX – a adoção de política de boas práticas e governança;
X – a pronta adoção de medidas corretivas; e
XI – a proporcionalidade entre a gravidade da falta e a intensidade da sanção.
Segundo a doutrina, o legislador foi feliz em prever tais critérios:
Afinal, a LGPD não é uma lei exclusivamente voltada à proteção dos indivíduos titulares dos dados pessoais, mas ao estímulo à inovação e às liberdades econômicas.
Por isso, seu propósito não é punitivo, mas pedagógico, sendo esse seu direcionamento maior”.[3]
Assim, entende-se que a ANPD analisará o caso concreto e tomará as medidas baseada, por exemplo, no tipo de incidente, como um vazamento de dados, e quais foram as medidas adotadas para reverter ou mitigar os efeitos dos incidentes.
De tudo isso se extrai, como bem dito por Tarcísio Teixeira, a importância da elaboração do relatório de impacto de proteção de dados pessoais – RIPDP, previsto no artigo 38, podendo facilitar a adoção de medidas em menor tempo possível, contando inclusive para minimização da pena.
Art. 38. A autoridade nacional poderá determinar ao controlador que elabore relatório de impacto à proteção de dados pessoais, inclusive de dados sensíveis, referente a suas operações de tratamento de dados, nos termos de regulamento, observados os segredos comercial e industrial.
Parágrafo único. Observado o disposto no caput deste artigo, o relatório deverá conter, no mínimo, a descrição dos tipos de dados coletados, a metodologia utilizada para a coleta e para a garantia da segurança das informações e a análise do controlador com relação a medidas, salvaguardas e mecanismos de mitigação de risco adotados.
Também se evidencia a importância de medidas de segurança da informação, como a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados (artigo 52, §1º, VII), em consonância com o disposto no inciso II do § 2º do art. 48 desta Lei.
O artigo 46 da lei prevê que os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas para proteção dos dados pessoais de: i) acessos não autorizados; ii) situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.
E, quanto a isso, a ANPD poderá especificar quais seriam os padrões técnicos, o que ainda não se tem.
O mesmo artigo, no parágrafo segundo, afirma que essas medidas deverão ser observadas desde a fase de concepção do produto ou do serviço até a sua execução.
O artigo 48 prevê que o controlador deverá comunicar à ANPD e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares.
Ainda diz que a comunicação será feita em prazo razoável, conforme definido pela Autoridade Nacional de Proteção de Dados Pessoais – ANPD.
No paragrafo segundo do artigo 48 vemos a possibilidade de publicização do fato, como se lê:
§ 2º A autoridade nacional verificará a gravidade do incidente e poderá, caso necessário para a salvaguarda dos direitos dos titulares, determinar ao controlador a adoção de providências, tais como:
I – ampla divulgação do fato em meios de comunicação; e
II – medidas para reverter ou mitigar os efeitos do incidente.
No artigo 49, tem-se a previsão de que os sistemas utilizados para o tratamento de dados pessoais devem ser estruturados de forma a atender aos requisitos de segurança, aos padrões de boas práticas e de governança e aos princípios gerais previstos na LGPD e às demais normas regulamentares.
E quais seriam essas boas práticas?
Boas Práticas de Governança
O artigo 50 e 51 tratam do que seriam essas boas práticas. Como bem esclarece a Dra. Patrícia Peck:
A instituição de medidas e regras de boas práticas e de governança é essencial para que todos os requisitos necessários à proteção de dados pessoais sejam efetivados.
Conforme os artigos 40,41,42 e 43, as medidas de boas práticas envolvem um sistema amplo e complexo de relações e previsões como instituição de mecanismo de educação e prevenção em face da segurança da informação, atuação de organismo de certificação e treinamento de equipes junto à atuação das autoridades supervisoras.[4]
Segundo Tarcísio Teixeira:
Como exemplo de boas práticas os agentes poderão adotar política de privacidade interna, instituir canais de denúncia para a proteção de dados, promover ações educativas e treinamentos, criar manuais para rotina de vazamento de dados, planos de vazamento de dados, de forma a engajar todos os setores de uma empresa para a política de proteção de dados pessoais.
Como se pode extrair, para que a organização possa estar preparada para um programa de adequação à LGPD, a adoção de processos bem mapeados, organizados e padronizados será de grande importância.
Sem conhecer suas próprias rotinas será mais complicado demonstrar que de fato há uma prática de proteção de dados incutida na organização.
E como se viu bem, o treinamento e o engajamento de todos nessa nova cultura será crucial.
Conclusão
Pode-se dizer por certo que apesar de não se ter uma Autoridade Nacional de Proteção de Dados – ANPD atuante, isso não significa ausência de sanção por outros órgãos, tais como Procon, Delegacia Regional do Trabalho, Ministérios Públicos e Judiciário na tutela dos direitos dos titulares.
Assim, apesar de as penalidades estarem previstas para vigência em agosto de 2021, há muitas razões para imediata adequação à LGPD.
Cumpre destacar que a lei trouxe diversos regramentos: quais são as sanções previstas, quais os critérios para adoção, inclusive já considerando atenuantes e agravantes. E isso pode ser um bom indicativo para observação por outros órgãos e não somente para a ANPD.
Pode-se também observar a relevância da adoção de medidas técnicas e administrativas de segurança da informação, como a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar danos.
E com especial relevância, a adoção de política de boas práticas e governança de dados pessoais.
Conclui-se então que mais do que contratar empresas para “tocarem” um projeto de adequação nas organizações, será necessária uma mudança de “cultura”, que possibilite a adoção interna de um programa de proteção de dados pessoais.
[1] e [2] LGPD: Lei Geral de Proteção de Dados comentada/Viviane Nóbrega Maldonado, Renato Opice Blum, coordenadores. – São Paulo: Thomson Reuters Brasil, 2019. [3] Lei Geral de Proteção de Dados Pessoais: Comentada artigo por artigo/Tarcisio Teixeira; Ruth Maria Guerreiro da Fonseca Armelin – Salvador: Editora JusPodium, 2019. [4] Proteção de Dados Pessoais: comentários à Lei n. 13.709/2018 (LGPD) / Patrícia Peck Pinheiro. – São Paulo: Saraiva Educação.2018
-
ChatGPT na educação: A inteligência artificial está roubando a criatividade nas salas de aulas?
-
Como as ferramentas no-code podem ajudar sua empresa a crescer mais rápido
-
Os 5 principais benefícios da automação de processos de trabalho para o seu negócio
-
Conheça o ChatGPT: o chatbot revolucionário que responde qualquer pergunta!
-
O que é a LGPD e por que ela é importante?