LGPD: multa por infração

Incialmente, antes de entrarmos no tema principal – LGPD multa por infração – precisamos esclarecer sobre quando ela poderá ser aplicada, e também, as demais sanções administrativas.

(Se você desconhece os termos: tratamento de dados, legítimo interesse, controlador, operador, entre outros, recomendamos a leitura deste Guia).

1. A multa por infração já está valendo?

A Lei Geral de Proteção de Dados Pessoais (LGPD – Lei Nº 13.709/2018), desde 18/09/2020, está em vigor, porém, as sanções administrativas (advertência, multa, bloqueio etc.) só poderão ser aplicadas a partir de agosto de 2021.

Entretanto, mesmo com a suspensão temporária da imposição da multa, já existem empresas que foram condenadas em processos judiciais com base na LGPD e no Código Civil.

Razão pelo qual é fundamental que as companhias e os profissionais iniciem um projeto de adequação à Lei.

1.1 Do novo adiantamento da aplicação de multa

Além da suspensão temporária das sanções da LGPD, também tramita na Câmara dos deputados o projeto de lei nº 500/21 que se for aprovado poderá adiar novamente a aplicação de multa por infração para 1º janeiro de 2022.

2. Quem poderá ser multado com base na LGPD?

Tanto pessoas físicas quanto pessoas jurídicas de direito público e de privado poderão ser multadas por descumprimento da Lei, notadamente aquelas que realizam o tratamento de dados pessoais (coleta, armazenamento, distribuição etc.) vejamos os exemplos:

• um advogado que coleta dados de um cliente para propor alguma medida judicial;
• um estabelecimento comercial que para formalizar uma compra solicita informações sobre o consumidor.

Vale ressaltar que a LGPD não é aplicada as pessoas físicas que usam dados pessoais com a finalidade domésticas e sem fins econômicos. Por exemplo, utilização de rede social, troca de correspondências, lista de contatos, blogs etc.

3. Qual autoridade pode aplicar a multa por infração?

Caberá a Autoridade Nacional de Proteção de Dados (ANPD) a fiscalização do cumprimento da Lei e também impor sanções administrativas.

4. LGPD: multa por infração

4.1 Multa simples – art. 52, inciso II:

multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração (grifos nossos);

Com o devido respeito, o dispositivo não foi bem elaborado, visto que existem contradições gritantes sobre quem pode ser responsabilizado por descumprimento da LGPD.

Conforme explicado no item 2, a LGPD deve ser cumprida por pessoas físicas e por pessoas jurídicas, ou seja, ambas devem ser responsabilizadas nos casos em que cometerem alguma ilegalidade.

Todavia, somente há previsão para punição de pessoas jurídicas, sendo assim, frontalmente contrária a intenção da LGPD, qual seja: proteger nossos dados pessoais, seja por irregularidade praticadas por pessoas físicas ou por pessoas jurídicas.

Outro ponto da Lei que tem sido bastante criticado é o termo “multa por infração“, pois, até o presente momento, não existe um critério que ajude a definir quais condutas serão levadas em consideração para aplicá-la na prática.

Em outra palavras, dependendo de como ela for a interpretada, poderá acarretar as empresas um excesso de penalidades desproporcionais e com caráter arrecadatório.

Vejamos o exemplo:

• se uma empresa, sem consentimento, obter dados sensíveis de todos os seus clientes (200 pessoas ao todo), mediante apenas um ato ilegal.

Nesse caso, se utilizarmos o critério por quantidade de ato ilegal praticado, a princípio, somente seria aplicada uma multa.

Por outro lado, imaginem se fosse aplicada uma multa por cada pessoa que sofreu algum dano devido a invasão de sua privacidade, a empresa poderia, em tese, sofrer até 200 multas, ou seja, utilizamos o critério por pessoas, não por atos ilegais.

Por esse motivos aqui expostos, foi criado o Projeto de Lei nº 3.420/2019 para retirar o termo “por infração” do artigo 52, inciso II.

4.2. Multa diária – art. 52, inciso III:

multa diária, observado o limite total a que se refere o inciso II;

A multa diária do modo como foi redigida também traz dificuldades para sua aplicação, já que existe um grande debate jurídico sobre correta utilização desta multa, também conhecida como astreintes.

O Superior Tribunal de Justiça (STJ) tem entendido que a fixação da multa diária deve ser proporcional ao valor da obrigação.

Porém, o que causa maior preocupação é que o limite do valor da multa diária é igual ao da multa simples (até 2% do faturamento líquido da empresa), ou seja, esta multa, se for aplicada nesses termos, tem um grande potencial de gerar danos econômicos irreparáveis as empresas.

Todavia, ainda é muito incipiente para sabermos como será aplicada a multa diária na prática, mas, independentemente disso, as sanções previstas na LGPD – quando forem fixadas – devem ter como parâmetros:

5. Dos parâmetros para fixação multa por infração – LGPD

Deve ser lavado em consideração para fixação de multa o que segue:

• a gravidade e a natureza das infrações e dos direitos pessoais afetados;
• a boa-fé do infrator;
• a vantagem auferida ou pretendida pelo infrator;
• a condição econômica do infrator;
• a reincidência;
• o grau do dano;
• a cooperação do infrator;
• a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados, em consonância com o disposto no inciso II do § 2º do art. 48 da LGPD;
• a adoção de política de boas práticas e governança;
• a pronta adoção de medidas corretivas; e
• a proporcionalidade entre a gravidade da falta e a intensidade da sanção

6. Conclusão

Como podemos ver, existem muitas dúvidas sobre como e quando será aplicada a multa por infração, contudo, não podemos ignorar o fato de que precisamos aumentar a nossa consciência sobre a utilizamos dados pessoais.

Nesse sentido, conforme destacamos neste artigo, vale lembrar que mesmo com a suspensão temporária das sanções administrativas, é possível que um profissional ou uma empresa seja condenado judicialmente por descumprir a LGPD.

Por outro lado, precisamos esclarecer que Lei não foi criada com fins arrecadatórios, muito pelo contrário, inclusive, um dos seus fundamentos basilares é o desenvolvimento econômico, art. 2, inciso V.

Além disso, também existe uma sanção administrativa com caráter educativo – advertência, art. 52, inciso I. Nesta penalidade, o indivíduo terá a oportunidade de corrigir as irregularidades que cometeu dentro de um prazo estabelecido pela ANPD, não havendo, portanto, nenhuma penalidade pecuniária.