Incialmente, antes de entrarmos no tema principal – LGPD multa por infração – precisamos esclarecer sobre quando ela poderá ser aplicada, e também, as demais sanções administrativas.
(Se você desconhece os termos: tratamento de dados, legítimo interesse, controlador, operador, entre outros, recomendamos a leitura deste Guia).
1. A multa por infração já está valendo?
A Lei Geral de Proteção de Dados Pessoais (LGPD – Lei Nº 13.709/2018), desde 18/09/2020, está em vigor, porém, as sanções administrativas (advertência, multa, bloqueio etc.) só poderão ser aplicadas a partir de agosto de 2021.
Entretanto, mesmo com a suspensão temporária da imposição da multa, já existem empresas que foram condenadas em processos judiciais com base na LGPD e no Código Civil.
Razão pelo qual é fundamental que as companhias e os profissionais iniciem um projeto de adequação à Lei.
1.1 Do novo adiantamento da aplicação de multa
Além da suspensão temporária das sanções da LGPD, também tramita na Câmara dos deputados o projeto de lei nº 500/21 que se for aprovado poderá adiar novamente a aplicação de multa por infração para 1º janeiro de 2022.
2. Quem poderá ser multado com base na LGPD?
Tanto pessoas físicas quanto pessoas jurídicas de direito público e de privado poderão ser multadas por descumprimento da Lei, notadamente aquelas que realizam o tratamento de dados pessoais (coleta, armazenamento, distribuição etc.) vejamos os exemplos:
- um advogado que coleta dados de um cliente para propor alguma medida judicial;
- um estabelecimento comercial que para formalizar uma compra solicita informações sobre o consumidor.
Vale ressaltar que a LGPD não é aplicada as pessoas físicas que usam dados pessoais com a finalidade domésticas e sem fins econômicos. Por exemplo, utilização de rede social, troca de correspondências, lista de contatos, blogs etc.
3. Qual autoridade pode aplicar a multa por infração?
Caberá a Autoridade Nacional de Proteção de Dados (ANPD) a fiscalização do cumprimento da Lei e também impor sanções administrativas.
4. LGPD: multa por infração
4.1 Multa simples – art. 52, inciso II:
multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração (grifos nossos);
Com o devido respeito, o dispositivo não foi bem elaborado, visto que existem contradições gritantes sobre quem pode ser responsabilizado por descumprimento da LGPD.
Conforme explicado no item 2, a LGPD deve ser cumprida por pessoas físicas e por pessoas jurídicas, ou seja, ambas devem ser responsabilizadas nos casos em que cometerem alguma ilegalidade.
Todavia, somente há previsão para punição de pessoas jurídicas, sendo assim, frontalmente contrária a intenção da LGPD, qual seja: proteger nossos dados pessoais, seja por irregularidade praticadas por pessoas físicas ou por pessoas jurídicas.
Outro ponto da Lei que tem sido bastante criticado é o termo “multa por infração“, pois, até o presente momento, não existe um critério que ajude a definir quais condutas serão levadas em consideração para aplicá-la na prática.
Em outra palavras, dependendo de como ela for a interpretada, poderá acarretar as empresas um excesso de penalidades desproporcionais e com caráter arrecadatório.
Vejamos o exemplo:
- se uma empresa, sem consentimento, obter dados sensíveis de todos os seus clientes (200 pessoas ao todo), mediante apenas um ato ilegal.
Nesse caso, se utilizarmos o critério por quantidade de ato ilegal praticado, a princípio, somente seria aplicada uma multa.
Por outro lado, imaginem se fosse aplicada uma multa por cada pessoa que sofreu algum dano devido a invasão de sua privacidade, a empresa poderia, em tese, sofrer até 200 multas, ou seja, utilizamos o critério por pessoas, não por atos ilegais.
Por esse motivos aqui expostos, foi criado o Projeto de Lei nº 3.420/2019 para retirar o termo “por infração” do artigo 52, inciso II.
4.2. Multa diária – art. 52, inciso III:
multa diária, observado o limite total a que se refere o inciso II;
A multa diária do modo como foi redigida também traz dificuldades para sua aplicação, já que existe um grande debate jurídico sobre correta utilização desta multa, também conhecida como astreintes.
O Superior Tribunal de Justiça (STJ) tem entendido que a fixação da multa diária deve ser proporcional ao valor da obrigação.
Porém, o que causa maior preocupação é que o limite do valor da multa diária é igual ao da multa simples (até 2% do faturamento líquido da empresa), ou seja, esta multa, se for aplicada nesses termos, tem um grande potencial de gerar danos econômicos irreparáveis as empresas.
Todavia, ainda é muito incipiente para sabermos como será aplicada a multa diária na prática, mas, independentemente disso, as sanções previstas na LGPD – quando forem fixadas – devem ter como parâmetros:
5. Dos parâmetros para fixação multa por infração – LGPD
Deve ser lavado em consideração para fixação de multa o que segue:
- a gravidade e a natureza das infrações e dos direitos pessoais afetados;
- a boa-fé do infrator;
- a vantagem auferida ou pretendida pelo infrator;
- a condição econômica do infrator;
- a reincidência;
- o grau do dano;
- a cooperação do infrator;
- a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados, em consonância com o disposto no inciso II do § 2º do art. 48 da LGPD;
- a adoção de política de boas práticas e governança;
- a pronta adoção de medidas corretivas; e
- a proporcionalidade entre a gravidade da falta e a intensidade da sanção
6. Conclusão
Como podemos ver, existem muitas dúvidas sobre como e quando será aplicada a multa por infração, contudo, não podemos ignorar o fato de que precisamos aumentar a nossa consciência sobre a utilizamos dados pessoais.
Nesse sentido, conforme destacamos neste artigo, vale lembrar que mesmo com a suspensão temporária das sanções administrativas, é possível que um profissional ou uma empresa seja condenado judicialmente por descumprir a LGPD.
Por outro lado, precisamos esclarecer que Lei não foi criada com fins arrecadatórios, muito pelo contrário, inclusive, um dos seus fundamentos basilares é o desenvolvimento econômico, art. 2, inciso V.
Além disso, também existe uma sanção administrativa com caráter educativo – advertência, art. 52, inciso I. Nesta penalidade, o indivíduo terá a oportunidade de corrigir as irregularidades que cometeu dentro de um prazo estabelecido pela ANPD, não havendo, portanto, nenhuma penalidade pecuniária.