Sanções da LGPD entram em vigor em agosto, 3 anos depois da publicação da norma

A Lei nº 13.709, de 14 de agosto de 2018 que institui a LGPD (Lei Geral de Proteção de Dados) foi sancionada pelo então presidente Michel Temer (MDB) há quase 3 anos, contudo, a legislação somente entrou em vigor em setembro de 2020, no Governo de Jair Bolsonaro (sem partido).

Quanto as sanções administrativas, a partir do dia 1º de agosto, empresas e órgãos públicos que não se adaptarem à norma poderão ser punidas com sanções que escalonam de uma simples advertência até multas de até 2% do faturamento — limitadas a R$ 50 milhões — ou mesmo o bloqueio dos dados.

Mais precisamente nos artigos 52, 53 e 54 da Lei Geral de Proteção de Dados estão previstas as sanções administrativas para os agentes de tratamento de dados que praticarem infrações. Confira quais são as penalidades para as empresas que desrespeitarem as determinações da LGPD:

– Advertência, com a indicação de prazo para a adoção de medidas corretivas;

– Multa simples de até 2% do faturamento da empresa (pessoa jurídica de direito privado, grupo ou conglomerado no Brasil) no seu último exercício, excluídos os tributos, limitada a R$ 50.000.000,00 por infração;

– Multa diária, respeitado o limite do Art. 52, II, da LGPD;

– Divulgação da infração ao público, após a devida apuração e a confirmação da ocorrência;

– Bloqueio e eliminação dos dados pessoais a que se refere a infração;

– Suspensão parcial do funcionamento do banco de dados relacionado à infração pelo período máximo de 6 meses (podendo ser prorrogada por igual período), até que haja a regularização da atividade de tratamento pelo controlador;

– Suspensão do exercício da atividade de tratamento de dados pessoais a que se refere a infração pelo período máximo de 6 meses, podendo ser prorrogada por igual período;

– Proibição parcial ou total do exercício de atividades relacionadas ao tratamento de dados.

Vale lembrar que, de acordo com o §1º do Artigo 52 da LGPD, as sanções só serão aplicadas após o processo administrativo, assegurando a oportunidade de ampla defesa de maneira gradativa, isolada ou cumulativa. Deste modo, serão consideradas as peculiaridades do caso e alguns critérios, tais como a gravidade da infração, a natureza dos direitos pessoais afetados, a boa-fé do infrator, a vantagem auferida ou pretendida pelo infrator, a reincidência e o grau do dano, entre outros aspectos.

No entanto, é importante ressaltar que toda essa análise não substitui a aplicação de sanções administrativas – civis ou penais – delimitadas na Lei nº 8.078 de 1990 (Código de Defesa do Consumidor), além de outras legislações específicas.

A fiscalização, por meio da ANPD, deverá estar atenta as empresas que tratam diretamente com a coleta e o manuseio de dados pessoais de clientes e fornecedores, principalmente, no caso de dados sensíveis.  Observa-se que dados pessoais são aqueles que possibilitam identificar uma pessoa ou torná-la identificável, basicamente, endereço; CPF, RG e CNH; dados de exames médicos; Hábitos de consumo; entre outros. Também temos definida na legislação uma categoria bem importante a ser considerada, os chamados dados sensíveis que merecem uma proteção maior tendo em vista sua relevância, exemplos: dado biométrico ou genético, filiação a sindicato ou associação de viés filosófico/político/religioso, dados associados à vida sexual/saúde, convicção religiosa e informações pessoais sobre origem étnica ou racial.

Além disso, observa-se que a ANPD (Autoridade Nacional de Proteção de Dados), órgão responsável pela fiscalização e aplicação da lei, ainda trabalha na regulamentação do processo administrativo que será utilizado para aplicar as sanções previstas.

Portanto, obviamente, estas alterações não serão de forma abrupta. Até mesmo porque a ANPD está trabalhando em uma minuta de regulamentação de fiscalização para nortear de como será aplicada esta sanção, inclusive, o texto sobre o assunto, está sob consulta pública até o final de junho. Esta regulamentação proposta pela ANPD estabelece o mecanismo de fiscalização que a Autoridade pretende adotar, com previsão de ações de monitoramento, orientação e prevenção e aplicação de sanção, seguindo a lógica da regulação responsiva. Deste modo, a expectativa é que no começo de agosto este regulamento seja publicado. Portanto, não será exatamente no dia 1º de agosto, que a ANPD estará totalmente apta a aplicar as sanções.

Por outro lado, o próprio Conselho Nacional de Proteção de Dados Pessoais e da Privacidade (CNPD) está em processo de escolha dos indicados para compor lista tríplice formada pelo Conselho Diretor da ANPD, a ser encaminhada ao Presidente da República para escolha dos Conselheiros.

Também importante referir que, recentemente, foi publicada a Portaria nº 1, de 8 de março de 2021, que estabelece o Regimento Interno da Autoridade Nacional de Proteção de Dados (ANPD). A determinação atesta a competência da ANPD para fiscalizar e aplicar as sanções consoante dispõe o artigo 52 da LGPD. Além disso, também define que a publicação das multas seguirá o rito administrativo, garantindo ampla defesa, direito ao contraditório e direito de recurso aos interessados.

Bom, o que temos até o presente momento, acerca da fiscalização da ANPD, são as definições já previstas na Lei nº 13.709, de 14 de agosto de 2018, a Lei Geral de Proteção de Dados Pessoais (LGPD). Um dos pontos a destacar é que a Autoridade poderá agir de ofício, ou seja, significa que além das reclamações e as denúncias da sociedade em face das empresas ou contra os agentes de tratamento, a própria Autoridade poderá decidir iniciar uma investigação. Outro aspecto a considerar é que o consumidor deverá, inicialmente, buscar resolver o problema de seus dados com a empresa, e apenas se não tiver êxito, poderá se direcionar junto com a ANPD, que se trata de uma segunda esfera.

Deste modo, percebe-se que as sanções deverão ser aplicadas de maneira proporcional à infração cometida, sendo que a ANPD definirá, por intermédio de regulamento próprio, as penalidades administrativas aplicáveis a cada ocorrido, além das metodologias para direcionar o cálculo do valor-base das sanções de multa.

Salienta-se que no que concerne as microempresas e empresas de pequeno porte, a ANPD já iniciou um levantamento de subsídios para regulamentação da aplicação da LGPD para este segmento, bem como iniciativas empresariais de caráter incremental ou disruptivo que se autodeclarem startups ou empresas de inovação e pessoas físicas que tratam dados pessoais com fins econômicos.

Portanto, empresas de todos os segmentos e diferentes portes, deverão se ajustar a norma em questão, podendo sofrer as referidas sanções cabíveis, gradativas conforme o caso e o impacto da infração. Quanto antes a empresa buscar adequar seus processos à Lei Geral de Proteção de Dados melhor, visando a tomada de decisões para evitar quaisquer irregularidades e ser pega de surpresa pela fiscalização, com autuações e penalidades expressivas.

Acesse aqui um fluxograma acerca das possíveis infrações, sanções e critérios de aplicação previstos na LGPD.

Permanecemos à disposição para demais esclarecimentos que se fizerem necessários.

AGF Advice Consultoria Legislativa, Tributária e Empresarial