Multas por infrações à LGPD podem surpreender. Empresas devem agir já
Sanções
podem chegar até a proibição do exercício de atividades
Lucélia Bastos Gonçalves Marcondes
A Lei Geral de
Proteção de Dados Pessoais (LGPD) percorreu um longo caminho até entrar em
pleno vigor. Com a Lei publicada em 14 de agosto de 2018, os artigos relativos
à criação da Autoridade Nacional de Proteção de Dados (ANPD) passaram a ter
eficácia a partir de 28 de dezembro de 2018 e os artigos correspondentes ao
efetivo tratamento de dados pessoais, direitos dos titulares e outras
disposições, em setembro de 2020.
As sanções
administrativas estabelecidas nos artigos 52 a 54 ganharam eficácia a partir de
1 de agosto de 2021, mas ainda estão pendentes de regulamentação pela ANPD,
pois ausente a metodologia para a orientação do cálculo do valor base das
sanções, bem como as circunstâncias e as condições para a adoção das multas,
incluindo a metodologia e a dosimetria.
A primeira agenda
regulatória da ANPD, publicada em 11 de janeiro de 2021, já contemplava a
previsão de início do processo de regulamentação das multas a partir do
primeiro semestre de 2021. Contudo, apenas em outubro do mesmo ano foi aprovada
a Resolução CD/ANPD nº 1 tratando do assunto.
Ainda que se
estivesse à espera de uma conduta mais efetiva, a Resolução nº1 apenas apontou
as regras a serem observadas no processo administrativo sancionador e
fiscalizatório pela própria ANPD, compreendendo as atividades de monitoramento,
orientação e atuação preventiva às infrações à proteção de dados.
A LGPD prevê que a
regulamentação das sanções administrativas, assim como de vários outros pontos
dispostos na norma, será objeto de consulta pública e, obedecendo a esta regra,
em 16 de agosto de 2022 a Autoridade abriu a consulta para ouvir a sociedade
sobre uma nova Resolução que busca regulamentar a real aplicação de sanções.
A minuta dessa
Resolução apresentou preceitos de dosimetria e aplicação de sanções
administrativas que considerarão a gravidade e a natureza das infrações e dos
direitos pessoais afetados, a boa-fé do infrator, a vantagem auferida ou
pretendida, a condição econômica e a reincidência e o grau do dano ocasionado.
Além disso, o processo sancionatório vai avaliar a adoção e a demonstração de
mecanismos e procedimentos internos capazes de minimizar o dano, visando ao
tratamento seguro e adequado de dados, à adoção de políticas de boas práticas e
à pronta tomada de medidas corretivas pelo agente de tratamento de dados.
As infrações foram
classificadas em três níveis, sendo grave quando o infrator auferir ou
pretender auferir vantagem econômica em decorrência do ato cometido, quando
realizar o tratamento de dados pessoais sem amparo em uma das bases legais
previstas na LGPD e quando prevalecer-se da fraqueza ou ignorância do titular,
tendo em vista a sua idade, saúde ou condição social. Ainda será considerada
grave a infração pelo tratamento de dados pessoais com efeito discriminatório,
ilícito ou abusivo, quando verificada a má-fé ou a adoção de práticas
irregulares, além da obstrução à atividade de fiscalização.
A infração será
considerada média quando envolver o tratamento de dados pessoais em larga
escala ou afetar significativamente interesses e direitos fundamentais dos
titulares, desde que em qualquer dessas hipóteses não haja a possibilidade de
classificação grave. Já o nível leve será aplicado quando não estiver presente
quaisquer das infrações apontadas como média ou grave.
As sanções consistem
em aplicação de advertência, multa diária, multa simples, publicização da
infração, bloqueio de dados pessoais, eliminação de dados, suspensão parcial do
funcionamento do banco de dados, bem como a suspensão ou proibição parcial ou
total do exercício de atividades relacionadas ao tratamento de dados.
A minuta da
Resolução apresentou as formas de cálculo e a aplicação das fórmulas diante de
cada classificação da infração. Especificamente para as multas simples, foram
estabelecidos os valores mínimos que serão aplicados às pessoas físicas ou
jurídicas de direito privado sem faturamento, correspondendo a R$ 1.000,00 para
infração de categoria leve, R$ 2.000,00 para a média e R$ 4.000,00 para as graves.
Para os demais agentes não enquadrados nesta regra os valores mínimos serão de
R$ 3.000,00, R$ 6.000,00 e R$ 12.000,00 para a mesma classificação, ou seja,
leve, média e grave respectivamente.
A consulta pública
que tratou desta minuta de Resolução foi finalizada em 15 de setembro de 2022 e
agora aguarda-se a publicação do documento em seu teor final.
Ainda que a fala dos
representantes da Autoridade Nacional de Proteção de Dados seja carregada de
uma atuação educativa, não se pode permanecer inerte ao dever de atenção e ação
quando se trata da privacidade e proteção dos dados. Por isso, é importante que
as empresas busquem uma equipe de consultoria com profissionais especializados
no assunto para não serem surpreendidas com multas administrativas da LGPD.
*Lucélia Bastos Gonçalves Marcondes é advogada no Rücker Curi Advocacia e Consultoria Jurídica
Nenhum comentário