Inicialmente, cumpre destacar que apesar de a Lei Geral de Proteção de Dados estar vigente desde agosto de 2020 (LGPD – Lei 13.709/2018), as normas que preveem as suas sanções administrativas que entraram em vigor em 1º de agosto de 2021 (artigos 52 a 54 da Lei).
Nesse sentido, a partir de agosto de 2021, as pessoas físicas ou jurídicas que realizam operações de tratamento de dados (agentes de tratamento de dados), e que infringirem os preceitos da LGPD, estão sujeitas ao recebimento das sanções administrativas previstas na Lei, aplicadas pela ANPD.
QUEM VAI REGULAR A LGPD?
A ANPD é a Autoridade Nacional de Proteção de Dados, tem como uma de suas competências a atividade de fiscalização e aplicação de multa, quando ocorrer o descumprimento da LGPD.
Vale ressaltar que a aplicação dessas sanções deverá observar um procedimento administrativo assegurando ao agente de tratamento de dados o contraditório, a ampla defesa e o direito de recorrer, bem como, é nesse procedimento administrativo que se verificará quais serão as sanções aplicáveis.
SANÇÕES ADMINISTRATIVAS DA LGPD
Sendo assim, faz-se necessário destacar quais são essas sanções administrativas, bem como fazer algumas observações alertando do impacto que elas podem gerar ao agente de tratamento de dados:
Advertência – A advertência concede ao infrator um prazo para regularização e adequação à legislação. Caso não seja regularizada a situação dentro desse prazo, será aplicada outra penalidade.
Multa
1ª Multa Simples – Até 2% sobre o faturamento, limitada ao valor de 50 MILHÕES de reais.
2ª Multa Diária – Limitada ao valor de 50 MILHÕES de reais.
Publicização – A Autoridade Nacional de Proteção de Dados – ANPD irá tornar pública a infração.
Bloqueio – Impedimento temporário no tratamento dos dados pessoais, até a regularização.
Eliminação – Exclusão de todos os dos dados pessoais a que se refere a infração.
Suspensão de até 6 meses
l – Parcial do Funcionamento do Banco de Dados da Infração – Prorrogável por igual período, até a regularização
da atividade pelo controlador dos dados pessoais
ll – Do Exercício da Atividade de Tratamento de Dados – Prorrogável por igual período
Proibição – Proibição Parcial ou Total do Exercício de Atividades de Tratamento de Dados
INFOGRÁFICO
Contudo, vale ressaltar que essas sanções administrativas serão aplicadas de acordo com as peculiaridades do caso concreto, verificadas no procedimento administrativo, em que será considerada a gravidade e a natureza das infrações e dos direitos pessoais afetados, além de particularidades do infrator, como a boa-fé, vantagem auferida/pretendida, condição econômica e cooperação.
Grau do Dano e Reincidência
No mais, também será observado qual é o grau do dano, se há reincidência, se existem procedimentos e mecanismos tomados/instaurados pelo infrator objetivando a adequação a lei e a segurança dos dados, e, por fim, se houve implementação de políticas de boas práticas e governança cooperativa.
Vale ressaltar que também será verificado se houve adoção de medidas corretivas para sanar a irregularidade, após o acontecido.
Dessa forma, todos esses itens supramencionados serão levados em consideração para determinar qual das sanções que será aplicada no caso concreto.
O IMPACTO DAS SANÇÕES DA LGPD
Com relação ao impacto que as sanções podem causar, inicialmente existe uma tendência a pensarmos que as multas são as sanções cujo impacto econômico é mais alto e mais preocupante, sendo certo que no caso de multa da LGPD realmente o valor pode ser muito alto, chegando até R$ 50 milhões
Citando um exemplo de caso concreto acerca dos altíssimos valores que envolvem as multas, na Europa, onde as sanções previstas na GDPR já estão vigentes (a GDPR é equivalente à LGPD, mas é a Lei de Proteção de Dados Pessoais da Europa, que, vale dizer, “inspirou” a LGPD):
Multa milionária
Houve aplicação de multa no valor de R$ 183 milhões de euros à empresa de tráfego aéreo British Airways, ou R$ 230 milhões de reais, ante ao vazamento de dados pessoais de mais de 500 mil clientes da empresa, por uma falha de segurança, conforme a notícia publicada na revista eletrônica “ISTO É”.
Todavia, é certo que as outras sanções podem ter impacto equivalente ou até mesmo muito maior, como por exemplo, a proibição total do exercício de atividades relacionadas ao tratamento de dados, ou a suspensão do funcionamento parcial de um banco de dados, no que se refere a infração.
Com efeito, a grande maioria das empresas simplesmente não conseguiria manter o funcionamento se não puder realizar o tratamento de dados pessoais ou utilizar os registros contidos nos bancos de dados, podendo gerar prejuízos irreversíveis.
Possibilidade de encerramento da atividade comercial da empresa
Em casos mais extremos, quando falamos de empresas cuja atividade comercial é o próprio tratamento de dados, uma sanção dessas provavelmente equivale a uma sentença de morte para a empresa.
É evidente que os dados pessoais, para muitas empresas, representam grande parte do seu patrimônio, então, qualquer sanção que afete a utilização desses dados, ou que os elimine, tem capacidade para gerar inimagináveis prejuízos.
Publicização da infração da empresa
De outro lado, também vale a reflexão de que a sanção de publicização da infração, que inicialmente não parece ser tão impactante, pode ser devastadora, senão vejamos:
No mundo em que vivemos atualmente, onde a concorrência no comércio é gigante, se houver a publicização de uma infração à LGPD, há grandes chances dos clientes da empresa infratora entenderem que seus dados pessoais não estão seguros, ou verificarem que estão sendo tratados para fins diversos do que permitiram, prejudicando completamente a imagem da empresa.
Portanto, muitos desses clientes irão passar a contratar ou a consumir dos concorrentes, que estão adequados à LGPD e que tomam medidas preventivas para segurança dos dados pessoais dos clientes.
Observe-se que, nesse exemplo, a publicização da infração seria devastadora para a empresa, por conta da imagem dela perante seus clientes.
Ou seja, as sanções que afetam diretamente o financeiro dos agentes de tratamento de dados (multas) não são as únicas sanções que realmente podem prejudicá-los, muito pelo contrário, muitas vezes as sanções que suspendem atividades ou que atacam a imagem da empresa tem potencial para prejudicar muito mais.
INVESTIMENTO EM SEGURANÇA PARA EVITAR MULTA NA LGPD
Sendo assim, conclui-se que todas as sanções administrativas previstas na LGPD podem ser imensamente impactantes, motivo pelo qual se faz necessário, como uma questão de sobrevivência, que todos os agentes de tratamento de dados estejam devidamente adequados à LGPD e, não somente isso, que também estejam investindo em mecanismos de segurança para os dados pessoais que armazenam.