Imagem mostra uma pessoa mexendo no computador e junto a ilustração de uma nuvem com um cadeado representando a computação na nuvem

A Lei Geral de Proteção de Dados Pessoais, bem conhecida como LGPD, legislação com o maior tempo de vacatio legis em nosso ordenamento jurídico, está prestes a ter em vigor a plenitude de suas disposições, isso por que, em seu artigo 65, as sanções administrativas previstas nos artigos 52, 53 e 54, produzem seus efeitos a partir de 01 de agosto de 2021. A contagem regressiva já começou!

No entanto, não é demais lembrar que o ordenamento jurídico brasileiro já conta com legislações que tutelam certos direitos dos titulares de dados como o Código de Defesa do Consumidor – Lei nº 8.078/1990 e o Marco Civil da Internet – Lei nº 12.965/14. A LGPD é uma legislação especial, no entanto esta especialidade não impede a cominação de sanções previstas em outros diplomas legais por parte de órgãos afetos de competências sancionatórias e normativas relacionadas ao tema da proteção de dados pessoais. Se ainda existe dúvida acerca da aplicabilidade das sanções constantes na LGPD, não mais se sustentam neste atual cenário de crescente consolidação de direitos relacionado à privacidade e proteção de dados.

Além disso, embora não seja o foco deste artigo, de bom alvitre constar que a LGPD trouxe em seu bojo a responsabilidade civil dos agentes de tratamento de dados pelos danos patrimoniais, morais, individuais ou coletivos que causarem ao titular de dados. Sobre o assunto, veiculou-se neste mês a notícia de que a Justiça Brasileira já prolatou 600 decisões envolvendo a lei em questão. Embora sob a perspectiva do total de processo em tramitação no país este número não seja tão alarmante, é suficiente para indicar o início de uma mudança de cultura já esperada: titulares de dados estão e estarão cada vez mais conscientes de seus direitos.

Feitas tais considerações, com relação às sanções administrativas, nos moldes do disposto no artigo 52 da lei em questão, a empresa que não se adequar ficará sujeita às sanções a serem aplicadas pela Autoridade Nacional de Proteção de Dados, que podem ser desde uma advertência com prazo para correção até a proibição total ou parcial do exercício de atividades relacionadas ao tratamento de dados, passando por penalidades de caráter pecuniário, como a multa simples de até 2% do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil, limitada à R$ 50.000.000,00 (cinquenta milhões de reais) por infração, e multa diária que obedece ao mesmo limite em milhões indicado na Lei[1].

Portanto, não é demais afirmar que a adequação das empresas à LGPD é um caminho que não mais admite volta.

Neste contexto, a Autoridade Nacional está em vias de aprovar seu Regulamento de Fiscalização, dispondo sobre a fiscalização e aplicação das sanções administrativas mencionadas. O Regulamento é baseado nos seguintes valores: i) regulação baseada em evidências; ii) proporcionalidade entre riscos e recursos alocados; iii) transparência e permeabilidade, que permitam à sociedade não só acompanhar, mas também contribuir para o aprimoramento da atuação da ANPD; iv) processos transparentes e justos; v) promoção da conformidade pelos mais diversos instrumentos e abordagens.

O objetivo é motivar os regulados a manterem um comportamento adequado, ou seja, em conformidade com as disposições legais acerca do tratamento de dados pessoais, por meio de ações de monitoramento, orientação, prevenção e, também, de punição. Sob a ótica do titular dos dados pessoais, espera-se que cada vez mais se desenvolva a chamada cultura de proteção de dados, pois, de nada adianta a lei, com suas devidas regulamentações, se dela o destinatário não sabe fazer uso. Porém, felizmente este cenário não é uma realidade distante.

[1] Art. 52. Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas nesta Lei, ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional:

I – advertência, com indicação de prazo para adoção de medidas corretivas;

II – multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;

III – multa diária, observado o limite total a que se refere o inciso II;

IV – publicização da infração após devidamente apurada e confirmada a sua ocorrência;

V – bloqueio dos dados pessoais a que se refere a infração até a sua regularização;

VI – eliminação dos dados pessoais a que se refere a infração;

VII – (VETADO);

VIII – (VETADO);

IX – (VETADO).

X – suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;

XI – suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período;

XII – proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.

Por ser uma lei multidisciplinar em sua essência, a adequação à LGPD demanda das empresas investimentos em tecnologia da informação em conjunto com o acompanhamento jurídico especializado, conjunto de ações que permitirá a devida compreensão do escopo legal, avaliação e adequação dentro das possibilidades e realidade de cada empresa.

Aliás, pergunta-se: quais as vantagens da adequação? A resposta não é limitada ao cumprimento de requisitos legais e mitigação de risco de cominação de pena pecuniária. A adequação empresarial gera oportunidade de reorganização interna da empresa, além da criação de um ambiente de confiança perante os parceiros, fornecedores e clientes, fatores que, somados, culminam na criação de vantagem competitiva para a empresa.

Nesse sentido e sob uma ótica prática e otimista, conclui Saad e Hiunes (2020, p.28):

 

[…] A LGPD também dará as empresas mais flexibilidade para sua atuação, permitindo que, além do consentimento, já previsto hoje no MCI[2], outras nove bases legais possam ser usadas para legitimar o tratamento de dados. Além disso, a adequação à LGPD representa valiosa oportunidade de reorganização e alinhamento internos quanto ao tratamento de dados pessoais, além de permitir o fortalecimento da confiança por parte de parceiros e consumidores e a consequente obtenção de relevante potencial competitivo com relação à aqueles que ainda vacilam em abraçar o respeito à privacidade como princípio ínsito às suas atividades cotidianas. (Grifos nossos)

 

Tendo em vista as vantagens apontadas bem como os valores que permeiam o citado Regulamento de Fiscalização da ANPD, oportuno destacar o disposto no §1º, do já mencionado artigo 52, da LGPD, que elenca parâmetros e critérios a serem observados pela Autoridade Nacional quando da aplicação das sanções administrativas. Vejamos:

 

Art. 52. Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas nesta Lei, ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional:

 

[…]

 

  • 1º As sanções serão aplicadas após procedimento administrativo que possibilite a oportunidade da ampla defesa, de forma gradativa, isolada ou cumulativa, de acordo com as peculiaridades do caso concreto e considerados os seguintes parâmetros e critérios:

 

I – a gravidade e a natureza das infrações e dos direitos pessoais afetados;

II – a boa-fé do infrator;

III – a vantagem auferida ou pretendida pelo infrator;

IV – a condição econômica do infrator;

V – a reincidência;

VI – o grau do dano;

VII – a cooperação do infrator;

VIII – a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados, em consonância com o disposto no inciso II do § 2º do art. 48 desta Lei;

IX – a adoção de política de boas práticas e governança;

X – a pronta adoção de medidas corretivas; e

XI – a proporcionalidade entre a gravidade da falta e a intensidade da sanção.

 

(Grifos nossos)

 

Denota-se, portanto, que, acaso a empresa adote as medidas necessárias à adequação legal, tanto em sua estrutura de governança quanto em seus sistemas relacionados à tecnologia da informação, ainda que eventual sanção lhe seja aplicada em razão da violação de direitos dos titulares de dados pessoais, certamente será amenizada, levando-se em conta os incisos VIII, IX e X do supratranscrito artigo legal. Também por este motivo, riscos cibernéticos, relacionados à LGPD já algum tempo é preocupação da gestão de riscos de empresas, que cada vez mais os alocam em suas matrizes de riscos.

Sobre o tema, em pesquisa realizada em meados do ano de 2019 pela Deloitte Brasil em parceria com o Instituto Brasileiro de Governança Corporativa (IBGC) intitulada “Os Cinco Pilares dos Riscos Empresariais 2019”, realizada com a participação de 165 respondentes, confirma a percepção de que o mercado está atento as estruturas de governança corporativa, gestão de riscos e controles como resposta às transformações tecnológicas e regulatórias, e neste ponto citamos a LGPD, que causaram impacto no ambiente de negócios.

 

Em relação à implementação da Lei Geral de Proteção de Dados, elaborar e revisar as políticas de privacidade e fortalecer o controle de acesso interno a dados são as inciativas mais adotadas pelos respondentes; ainda assim, menos de 40% realizam cada uma dessas atividades. Ações que envolvem investimentos mais robustos, como adoção de ferramentas e contratação de seguros, ainda são incipientes. Esse é um indicador que de as empresas têm realizado esses investimentos com cautela, procurando compreender melhor o que preconiza a regulamentação e as suas implicações nos negócios (DELOITTE, 2019, p. 32)

 

Ainda sobre o tópico em análise, conclui-se que:

 

Assim, embora os fatores macroeconômicos afetem a relação risco/retorno das empresas, é possível concluir que uma estrutura de governança oferece às organizações uma melhor capacidade de enfrentar tanto os momentos de crise como os de crescimento da economia (FRAGOSO, Ronaldo, 2019, p. 33).

 

 

Desta forma, é possível afirmar que ante as vantagens da adequação, jurídica e tecnológica, e na iminência da aplicabilidade das sanções pelo não cumprimento da LGPD, não há caminho a não ser o investimento em contratação de profissional advogado especializado na área, que irá mostrar o caminho mais adequado à perfeita adequação empresarial as normais legais constantes da lei em análise, garantindo que, mesmo em caso de acionamento judicial ou administrativo, a empresa tenha as evidências de que tomou as precauções exigidas, e muito mais, irá permitir que as empresas alcancem as vantagens relacionadas à competitividade no mercado e continuidade da operação empresarial mesmo em caso de ocorrência de incidentes.

Por derradeiro, sob uma perspectiva profissional, resta claro que o mercado de trabalho relacionado à proteção de dados está em crescimento e ainda tem muito a se desenvolver, motivo pelo qual nos próximos meses e anos boas oportunidades surgirão para aqueles profissionais que se dedicam ao estudo desta recente área da ciência jurídica.

 

REFERENCIAL BIBLIOGRÁFICO

 

BRASIL. Autoridade Nacional de Proteção de Dados. Norma de Fiscalização da ANPD. Disponível em: <Governo Federal – Participa + Brasil – Norma de fiscalização da ANPD (www.gov.br)>. Acesso em Acesso em 15 jul 2021.

BRASIL. Lei nº 13.709, de 14 de Agosto de 2018. Lei Geral de Proteção de Dados Pessoais. Disponível em: < L13709compilado (planalto.gov.br)> Acesso em 15 jul 2021.

DELOITTE BRASIL E INSTITUTO BRASILEIRO DE GOVERNANÇA CORPORATIVA (IBCG). Os Cinco Pilares de Riscos Visão abrangente e integrada sobre os principais riscos empresariais 2019. Disponível em: < {2f48c689-0c98-4c24-9636-f154e8252a48}_Cinco-Pilares-Riscos-2019-Deloitte.pdf (en25.com)> Acesso em 20 jul 2021.

Lei Geral de Proteção de Dados (Lei nº 13.709/2018): a caminho da efetividade: contribuições para implementação da LGPD/ obra coletiva; Ricardo Villas Bôas Cueva, Danilo Doneda, Laura Schertel Mendes, coordenadores. – São Paulo: Thomson Reuters Brasil, 2020.

Manual de Compliance/ coordenação André Castro Carvalho, Tiago Cripa Alvim, Rodrigo Bertoccelli, Otávio Venturini. – 2.ed. – Rio de Janeiro: Forense, 2020.

SAAD, Andreia; HIUNES, Antonio. Ela, a LGPD, vista pelas empresas: uma proposta de visão prática – e otimista. In: CUEVA, Ricardo Villas Bôas et al. Lei Geral de Proteção de Dados (Lei nº 13.709/2018): a caminho da efetividade: contribuições para implementação da LGPD. São Paulo: Thomson Reuters Brasil, 2020. p. 17-28.

SOPRANA, Paula. LGPD: Justiça já possui 600 decisões envolvendo a lei. Folha de São Paulo, São Paulo, 04 jul 2021. Disponível em: < Justiça já tem 600 decisões envolvendo lei de proteção de dados – 04/07/2021 – Mercado – Folha (uol.com.br)> Acesso em 15 jul 2021.

[1] Art. 52. Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas nesta Lei, ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional:

I – advertência, com indicação de prazo para adoção de medidas corretivas;

II – multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;

III – multa diária, observado o limite total a que se refere o inciso II;

IV – publicização da infração após devidamente apurada e confirmada a sua ocorrência;

V – bloqueio dos dados pessoais a que se refere a infração até a sua regularização;

VI – eliminação dos dados pessoais a que se refere a infração;

VII – (VETADO);

VIII – (VETADO);

IX – (VETADO).

X – suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;

XI – suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período;

XII – proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.

[2] Marco Civil da Internet – Lei nº 12.965/2014.

 

Disponível em: https://www.conjur.com.br/2021-jul-30/pavon-implacavel-tempo-chegada-hora-sancoes-lgpd

Autor: Raissa Varrasquim Pavon • email: raissa.pavon@ernestoborges.com.br

IMPLACÁVEL TEMPO: É CHEGADA A HORA DAS SANÇÕES ADMINISTRATIVAS DA LGPD ENTRAREM EM VIGOR

Responsável pela área

Telecomunicações

IMPLACÁVEL TEMPO: É CHEGADA A HORA DAS SANÇÕES ADMINISTRATIVAS DA LGPD ENTRAREM EM VIGOR

Advogados

Área de atuação

Relacionadas

Telecomunicações

voltar Icone Mais Direita