Salvo disposição em contrário, a partir do dia 1º de agosto de 2021, passam a vigorar os artigos 52, 53 e 54 da Lei Geral de Proteção de Dados Pessoais de nº 13.709/2018. Nestes artigos são estabelecidas sanções que serão aplicadas pela recém-criada Autoridade Nacional de Proteção de Dados (ANPD), conforme autorizado no artigo 55 A, da mesma Lei.
Vale destacar que, a Lei já está em vigor, e descumpri-la, pode gerar outras sanções, ali não previstas, como as que encontramos no Código de Defesa do Consumidor. Um bom exemplo, é a multa e punição recebida pelo Serasa, em decisão inédita do Tribunal de Justiça do Distrito Federal, devido a venda ilegal de dados dos consumidores, com multa para cada venda efetuada em desconformidade com a referida decisão.
Vale ainda destacar que a Lei Geral de Proteção de Dados, não impede a aplicação de outras medidas judiciais, cíveis ou criminais, previstas Lei nº 8.078, mesmo porque a LGPD, trata apenas de medidas e sanções administrativas.
Especificamente, as sanções da Lei Geral de Proteção de Dados, só poderão ser aplicadas após processo administrativo, perante a Autoridade Nacional de Proteção de Dados, garantida a ampla defesa, conforme previsto no artigo 52, §1º.
§ 1º As sanções serão aplicadas após procedimento administrativo que possibilite a oportunidade da ampla defesa, de forma gradativa, isolada ou cumulativa, de acordo com as peculiaridades do caso concreto e considerados os seguintes parâmetros e critérios:
I - a gravidade e a natureza das infrações e dos direitos pessoais afetados;
II - a boa-fé do infrator;
III - a vantagem auferida ou pretendida pelo infrator;
IV - a condição econômica do infrator;
V - a reincidência;
VI - o grau do dano;
VII - a cooperação do infrator;
Percebe-se que a Lei flexibiliza a aplicação das sanções com base em parâmetros, como a boa-fé e a reincidência, o que dá margem para “interpretações”. As sanções propriamente ditas, conforme o artigo 52 da lei são:
Art. 52. Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas nesta Lei, ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional:
I - advertência, com indicação de prazo para adoção de medidas corretivas;
II - multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
III - multa diária, observado o limite total a que se refere o inciso II;
IV - publicização da infração após devidamente apurada e confirmada a sua ocorrência;
V - bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
VI - eliminação dos dados pessoais a que se refere a infração;
VII - VETADO
VIII - VETADO
IX - VETADO
X - suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;
XI - suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período;
XII - proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
A título de conceito, a própria lei, no artigo 5º, incisos V, VI, VII, VIII e IX, define quem são os agentes da seguinte forma:
V - titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento;
VI - controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais;
VII - operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador;
VIII - encarregado: pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD);
IX - agentes de tratamento: o controlador e o operador;
A ANPD, ao aplicar multa, deverá usar como base o faturamento da empresa, sendo o valor arrecadado direcionado para o Fundo de Defesa de Direitos Difusos.
Além das sanções pecuniárias, existem outras sanções que, ao meu ver, podem trazer maior prejuízo para a empresa, como a prevista no artigo 52 inciso VI, que determina a eliminação de todos os dados pessoais a que se refere a infração. Imagine uma empresa ter seu banco de dados de clientes totalmente apagado? Esse prejuízo seria inestimável. Isso porque, a depender da falha no sistema de dados da empresa, ou do tratamento indevido, o vazamento de dados pessoais poderá ser de todo o seu portfólio, e não apenas de um cliente.
Comments