Últimas

Multas por infrações à LGPD podem surpreender. Empresas devem agir já

Sanções podem chegar até a proibição do exercício de atividades

Lucélia Bastos Gonçalves Marcondes

A Lei Geral de Proteção de Dados Pessoais (LGPD) percorreu um longo caminho até entrar em pleno vigor. Com a Lei publicada em 14 de agosto de 2018, os artigos relativos à criação da Autoridade Nacional de Proteção de Dados (ANPD) passaram a ter eficácia a partir de 28 de dezembro de 2018 e os artigos correspondentes ao efetivo tratamento de dados pessoais, direitos dos titulares e outras disposições, em setembro de 2020.

As sanções administrativas estabelecidas nos artigos 52 a 54 ganharam eficácia a partir de 1 de agosto de 2021, mas ainda estão pendentes de regulamentação pela ANPD, pois ausente a metodologia para a orientação do cálculo do valor base das sanções, bem como as circunstâncias e as condições para a adoção das multas, incluindo a metodologia e a dosimetria.

A primeira agenda regulatória da ANPD, publicada em 11 de janeiro de 2021, já contemplava a previsão de início do processo de regulamentação das multas a partir do primeiro semestre de 2021. Contudo, apenas em outubro do mesmo ano foi aprovada a Resolução CD/ANPD nº 1 tratando do assunto.

Ainda que se estivesse à espera de uma conduta mais efetiva, a Resolução nº1 apenas apontou as regras a serem observadas no processo administrativo sancionador e fiscalizatório pela própria ANPD, compreendendo as atividades de monitoramento, orientação e atuação preventiva às infrações à proteção de dados.

A LGPD prevê que a regulamentação das sanções administrativas, assim como de vários outros pontos dispostos na norma, será objeto de consulta pública e, obedecendo a esta regra, em 16 de agosto de 2022 a Autoridade abriu a consulta para ouvir a sociedade sobre uma nova Resolução que busca regulamentar a real aplicação de sanções.

A minuta dessa Resolução apresentou preceitos de dosimetria e aplicação de sanções administrativas que considerarão a gravidade e a natureza das infrações e dos direitos pessoais afetados, a boa-fé do infrator, a vantagem auferida ou pretendida, a condição econômica e a reincidência e o grau do dano ocasionado. Além disso, o processo sancionatório vai avaliar a adoção e a demonstração de mecanismos e procedimentos internos capazes de minimizar o dano, visando ao tratamento seguro e adequado de dados, à adoção de políticas de boas práticas e à pronta tomada de medidas corretivas pelo agente de tratamento de dados.

As infrações foram classificadas em três níveis, sendo grave quando o infrator auferir ou pretender auferir vantagem econômica em decorrência do ato cometido, quando realizar o tratamento de dados pessoais sem amparo em uma das bases legais previstas na LGPD e quando prevalecer-se da fraqueza ou ignorância do titular, tendo em vista a sua idade, saúde ou condição social. Ainda será considerada grave a infração pelo tratamento de dados pessoais com efeito discriminatório, ilícito ou abusivo, quando verificada a má-fé ou a adoção de práticas irregulares, além da obstrução à atividade de fiscalização.

A infração será considerada média quando envolver o tratamento de dados pessoais em larga escala ou afetar significativamente interesses e direitos fundamentais dos titulares, desde que em qualquer dessas hipóteses não haja a possibilidade de classificação grave. Já o nível leve será aplicado quando não estiver presente quaisquer das infrações apontadas como média ou grave.

As sanções consistem em aplicação de advertência, multa diária, multa simples, publicização da infração, bloqueio de dados pessoais, eliminação de dados, suspensão parcial do funcionamento do banco de dados, bem como a suspensão ou proibição parcial ou total do exercício de atividades relacionadas ao tratamento de dados.

A minuta da Resolução apresentou as formas de cálculo e a aplicação das fórmulas diante de cada classificação da infração. Especificamente para as multas simples, foram estabelecidos os valores mínimos que serão aplicados às pessoas físicas ou jurídicas de direito privado sem faturamento, correspondendo a R$ 1.000,00 para infração de categoria leve, R$ 2.000,00 para a média e R$ 4.000,00 para as graves. Para os demais agentes não enquadrados nesta regra os valores mínimos serão de R$ 3.000,00, R$ 6.000,00 e R$ 12.000,00 para a mesma classificação, ou seja, leve, média e grave respectivamente.

A consulta pública que tratou desta minuta de Resolução foi finalizada em 15 de setembro de 2022 e agora aguarda-se a publicação do documento em seu teor final.

Ainda que a fala dos representantes da Autoridade Nacional de Proteção de Dados seja carregada de uma atuação educativa, não se pode permanecer inerte ao dever de atenção e ação quando se trata da privacidade e proteção dos dados. Por isso, é importante que as empresas busquem uma equipe de consultoria com profissionais especializados no assunto para não serem surpreendidas com multas administrativas da LGPD.

 

*Lucélia Bastos Gonçalves Marcondes é advogada no Rücker Curi Advocacia e Consultoria Jurídica

Nenhum comentário