Marcelle Blanche Farias
Advogada sócia do Terra Rocha Advogados, DPO e Coordenadora Jurídica de Projetos de Adequação e Implementação da Lei Geral de Proteção de Dados Pessoais.
Recentemente, no final de fevereiro deste ano, a Autoridade Nacional de Proteção de Dados – ANPD, publicou a Resolução nº 4 de 2023, que regula os critérios e procedimentos para a aplicação das sanções administrativas por violação à Lei Geral de Proteção de Dados – LGPD Pessoais, tão aguardada pelos profissionais atuantes na área.
A resolução entrou em vigor na data de sua publicação, tendo seu efeito retroativo aplicado, ou seja, permitindo a imediata aplicação das sanções pela Autoridade nos processos em curso, o que trouxe ainda a expectativa de finalização de procedimentos administrativos que já estão sendo apurados pelo Órgão e consequentemente, a publicização das primeiras infrações.
Já no início do mês de março, foi divulgada a sentença proferida pela 81ª Vara do Trabalho de São Paulo/SP, onde um colaborador teve seu pedido de rescisão indireta negado e foi punido com a conversão da demissão em justa causa, após violar a LGPD e consequentemente fazer “com que a empresa infringisse a LGPD, pois esta era a responsável pela guarda dos dados sensíveis de seus clientes”. (Sic). Trata-se de mais uma decisão emanada pela Justiça do Trabalho confirmando os impactos da LGPD também nas relações trabalhistas.
Na mesma semana, o relator da regulamentação da ANPD, Arthur Sabbat, concedeu entrevista ao site Convergência Digital e na oportunidade informou a existência de 08 (oito) processos sancionadores em aberto, destacando que “... quando o processo indica que o agente de tratamento não apresentou justificativas suficientes, foram superficiais ou não mostraram que danos foram adequadamente sanados e direitos dos titulares respeitados e restabelecidos, resulta na sanção. Quando chega nessa etapa é porque a Coordenação de Fiscalização entendeu que não há como encerrar o processo sem sanção.” (Sic).
Tais eventos têm acelerado ainda mais a corrida do mercado pela adequação, tendo em vista a grande repercussão das possíveis penalizações administrativas, principalmente as de cunho financeiro e decisões judiciais cada vez mais severas por parte do judiciário.
As sanções previstas na LGPD incluem multas, por infração, que podem chegar a 2% (dois por cento) do faturamento da empresa, além de outras penalidades, como a proibição de processamento de dados pessoais e até mesmo a suspensão das atividades da empresa, que serão avaliadas e impostas de acordo a classificação da gravidade da infração. Essas penalidades têm preocupado os empresários, que após uma onda inicial de incredulidade, estão correndo para se adequar na tentativa de não serem penalizados.
A Resolução nº 4 estabelece que a ANPD deve seguir critérios de proporcionalidade e razoabilidade na aplicação das sanções administrativas, levando em consideração a gravidade da infração, e ressaltando-se ainda: o histórico de conformidade do infrator e as medidas adotadas para corrigir a irregularidade.
O documento deve ser analisado em conjunto com a Resolução CD/ANPD nº1/2021, onde se determina que as empresas que eventualmente incorram em infração têm o direito de apresentar defesa administrativa no prazo de 10 (dez) dias úteis a partir da notificação da sanção. A ANPD, por sua vez, deve analisar a defesa apresentada e, caso necessário, realizar novas diligências antes de proferir a decisão final.
Do mesmo modo que é trazido pela LGPD, um princípio consagrado nos critérios de dosimetria das sanções é o da boa-fé, que neste caso, é considerado inclusive, como um fator que pode até mesmo atenuar o valor da multa aplicada em 5% (cinco por cento), transcrito na resolução em seu artigo 13, inciso IV.
Outro ponto importante a ser destacado é que a implementação de boas práticas de governança também pode reduzir o valor da multa prevista pela ANPD, neste caso, em um percentual de 20% (vinte por cento), o que pode ser uma elevada quantia, conforme artigo 13, II da resolução. Isso ressalta a importância das empresas, grupos ou conglomerados adotarem de pronto programas de governança em privacidade e proteção de dados em suas organizações.
Ademais, a ANPD estabeleceu um prazo bastante curto, de 20 (vinte) dias para o pagamento da multa a partir do momento em que o infrator tomar ciência da decisão.
Assim, a união dos fatores atenuantes de implementação das práticas acima citadas de governança, demonstração de boa-fé, além de outros critérios trazidos pela norma para a redução das multas em percentuais consideráveis, com o curto prazo para o pagamento das multas, traz o alerta da urgência na necessidade de adequação à lei, ao que se pode observar, o recado é claro: não é aceitável ficar de braços cruzados e não ter iniciado um projeto de adequação ou programa de governança e proteção de dados.
Com a sensação traduzida pelas regras, a preocupação do mercado é focada nos aspectos necessários à adequação. Uma das principais mudanças que as empresas precisam implementar para se adequar à LGPD é a criação de um programa de privacidade, que deve incluir a nomeação de um encarregado de proteção de dados, a realização de avaliações de risco e a implementação de medidas de segurança para proteger os dados pessoais.
Além disso, as empresas precisam revisar seus contratos com terceiros, como prestadores de serviços e fornecedores, para garantir que eles também estejam em conformidade com a LGPD. As empresas também devem revisar suas políticas de privacidade e obter o consentimento adequado dos usuários para coletar, armazenar e processar seus dados pessoais.
A corrida para se adequar à LGPD tem sido especialmente desafiadora para as pequenas e médias empresas, que geralmente têm menos recursos para investir em tecnologia e consultoria jurídica. No entanto, mesmo as empresas menores estão percebendo que a conformidade com a LGPD é essencial para proteger seus negócios e evitar multas e sanções, considerando ainda que a ANPD flexibilizou as regras a fim de possibilitar a adequação destas empresas.
Entretanto, tal disparada rumo à adequação à LGPD não se limita apenas às empresas. As instituições governamentais também estão se movimentando para se adequar à lei, revisando suas políticas de privacidade e implementando medidas de segurança para proteger os dados pessoais dos cidadãos.
Em suma, a publicação das sanções da LGPD causou uma disparada no mercado para se adequar à lei. Os prazos são curtos e as imposições são severas, portanto, urge a necessidade de aderência aos programas de privacidade e proteção de dados. Desta forma, empresas de todos os setores estão se movimentando para implementar medidas de segurança e proteção de dados pessoais, em um esforço para evitar multas e outras penalidades, tornando a cultura de segurança e proteção imprescindível e definitiva.
Fontes:
BRASIL. LEI Nº 13.709, DE 14 DE AGOSTO DE 2018 - LGPD. Disponível em: https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm
BRASIL. RESOLUÇÃO CD/ANPD Nº 1, DE 28 DE OUTUBRO DE 2021. Disponível em: https://www.gov.br/anpd/pt-br/documentos-e-publicacoes/regulamentacoes-da-anpd/resolucao-cd-anpd-no1-2021
BRASIL. RESOLUÇÃO CD/ANPD Nº 4, DE 24 DE FEVEREIRO DE 2023 – Disponível em: https://www.gov.br/anpd/pt-br/assuntos/noticias/anpd-publica-regulamento-de-dosimetria/Resolucaon4CDANPD24.02.2023.pdf
BRASIL. Justiça do Trabalho - TRT da 2ª Região, São Paulo/SP – Disponível em: https://ww2.trt2.jus.br/noticias/noticias/noticia/empregado-viola-lgpd-em-pedido-de-rescisao-indireta-e-e-punido-com-justa-causa
