LGPD e sanções em vigor desde 1º de agosto: educar e instruir pode afastar a necessidade de aplicação de penalidades
Rodrigo Santos e Fernanda Galvão
No mês de agosto de 2021 completam três anos da data de promulgação da Lei Geral de Proteção de Dados (“LGPD”) (1). Desde o dia 1º deste mês, as empresas e demais agentes de tratamento ficam sujeitos às sanções administrativas previstas nessa lei, dentre as quais se incluem advertências e multas pecuniárias com valores que podem chegar a R$ 50 milhões.
Antes de abordar as sanções, é importante lembrar que a LGPD possui forte potencial para gerar efeitos benéficos na construção de segurança jurídica, harmonizando conceitos associados à proteção da privacidade antes tratados por normas setoriais. Ela estabelece regras gerais para o fluxo adequado do tratamento de dados na sociedade, com base em premissas éticas e patamares mínimos de segurança. Essa difusão de boas práticas na área de privacidade aumenta a competitividade das empresas brasileiras no cenário internacional, principalmente perante os investidores estrangeiros.
Com o objetivo de regular o sistema de proteção de dados, a LGPD previu a criação da Autoridade Nacional de Proteção de Dados (“ANPD”) (2), com diversas atribuições relevantes, dentre as quais a de fiscalizar e aplicar sanções em caso de tratamento de dados em desconformidade com a legislação.
São exatamente essas sanções de competência exclusiva da ANPD, previstas nos artigos 52 a 54 da LGPD, que se tornaram aplicáveis a partir de 1º de agosto de 2021 ou “[os] delitos de natureza continuada iniciados antes dessa data” (3). Antes de examiná-las, vale esclarecer que violações à privacidade praticadas em momento anterior à citada data de início das aplicações das sanções já eram puníveis com base no Código Civil Brasileiro, no Marco Civil da Internet e no Código de Defesa do Consumidor (4).
De acordo com o artigo 52 da LGPD, a ANPD é competente para aplicar as mais variadas sanções que vão desde a aplicação de advertência, com indicação de prazo para adoção de medidas corretivas; multas pecuniárias de até R$ 50 milhões passando pela publicização da infração, pelo bloqueio dos dados pessoais relativos à infração até a regularização e pela eliminação dos dados pessoais referentes à infração; e também medidas mais severas como suspensão parcial do funcionamento do banco de dados pessoais relacionados à infração pelo prazo de seis meses e proibição parcial ou total das atividades relacionadas ao tratamento de dados.
Essas medidas poderão ter impactos concretos e significativos em relação à (in)viabilidade dos negócios em diversos setores. Além do elevado valor limite previsto para a aplicação da multa (correspondente a R$ 50 milhões para cada violação), a publicização de uma infração, por exemplo, é capaz de gerar relevantes prejuízos reputacionais que podem ser irreversíveis a depender da natureza do negócio e das circunstâncias do caso.
Com o objetivo de regular a sua atividade fiscalizatória e a aplicação das sanções, a ANPD divulgou proposta de resolução (5). Esta prevê a atuação da autoridade nacional de forma escalonada (6), com modelo de fiscalização orientado principalmente pelas seguintes premissas: (i) priorizar a atuação baseada em gestão de riscos, com foco e orientação para o resultado; (ii) atuar de forma responsiva, com medidas proporcionais à relevância dos riscos identificados e à postura dos envolvidos; (iii) estimular a cultura de proteção de dados e a conciliação direta entre as partes; e (iv) prever mecanismos de transparência, retroalimentação e autorregulação. A proposta de resolução também prevê normas sobre o processo administrativo no caso de aplicação de sanções. A metodologia para orientar o cálculo do valor-base das multas ainda está em estudo pela ANPD e ainda não foi disponibilizada (7).
Como se vê, embora a citada resolução contemple a possibilidade de aplicação de sanções, não há enfoque nas ações punitivas, cujas necessidade e extensão deverão ser avaliadas no caso concreto. Do ponto de vista prático, a partir do momento em que a ANPD se propõe a adotar um modelo de atuação responsivo, com aplicação gradual e escalonada de penalidades, a expectativa é que as sanções não sejam adotadas prioritariamente. Ao contrário, elas deverão ocorrer apenas em casos graves, envolvendo violações dolosas importantes, ou descumprimentos culposos reiterados da LGPD.
Na ocorrência de incidente de segurança (8), não se espera que as empresas responsáveis sejam obrigatoriamente sancionadas sem antes ser feita a análise das circunstâncias do caso. Evidentemente, quanto maior a capacidade de a empresa demonstrar seu empenho, diligência e cuidado na adoção de boas práticas e medidas voltadas à conformidade com a LGPD (incluindo comunicação do incidente de segurança à autoridade, se aplicável, mapeamento das operações de tratamento, utilização de base legal adequada, atendimento dos princípios da lei, adoção de medidas razoáveis para garantir a segurança da informação, dentre outros), menores serão as chances de receber punição. Mesmo em caso de aplicação das penalidades, para aquelas empresas que conseguirem demonstrar os esforços para adequação à LGPD, a sanção poderá ser mais branda, conforme prevê os parâmetros para dosimetria das sanções no §1º, do artigo 52 da LGPD.
Nesse contexto, o modelo fiscalizatório proposto pela ANPD, com viés responsivo e educacional, acertadamente privilegia o desenvolvimento de uma cultura de proteção de dados, o que é importante para promover a conscientização desse tema no Brasil, onde muitas empresas ainda não estão preparadas para cumprir as normas de proteção de dados. Isso foi refletido na pesquisa realizada pela Deloitte Touche Tohmatsu Consultores Ltda. (“Deloitte”) no final de 2020 denominada “Agenda 2021: Recuperação, sustentação e Legado para os negócios” (9), com 603 empresas de 36 segmentos econômicos, na qual foi constatado que apenas 38% das empresas estão preparadas para atender aos requisitos da LGPD à época da entrada em vigor da lei, enquanto 46% não estão preparadas e 16% não sabem avaliar. No caso específico das pequenas e médias empresas, a ausência de adequação à legislação é ainda maior. Segundo levantamento realizado no primeiro semestre de 2021 pela BluePex (10), empresa de gestão de segurança de informações, apenas 4% estão totalmente preparadas para a LGPD e 27% estão parcialmente preparadas, enquanto 55% ainda buscam informações para adequação e 12% não possuem qualquer iniciativa de adequação.
Outra informação interessante obtida na pesquisa da Delloite é com relação ao nível de prioridade que a LGPD terá para as empresas em 2021: 30% atribuem prioridade muito alta, 28% alta, enquanto 28% moderada, 7% baixa e 7% muito baixa. Ou seja, 58% das empresas indicam um nível de prioridade alto ou muito alto para a LGPD. Talvez esse resultado ajude a explicar o fato de que 56% das empresas pesquisadas pretendem elevar os investimentos em segurança digital, conforme apontado na pesquisa, de modo a reduzir os riscos de ocorrência de incidentes de segurança nos meios digitais, alinhados com a LGPD.
Para que as empresas se tornem menos vulneráveis à incidência de sanções da LGPD é recomendável que elas criem mecanismos eficientes de resolução de conflitos junto aos titulares de dados demandantes. Isso porque a ANPD somente vai apreciar (e eventualmente punir) as reclamações de titulares que tenham sido previamente endereçadas à empresa responsável pelo tratamento dos dados e não tenham sido solucionadas nessa via consensual (11). Ou seja, é importante resolver a maior parte possível dessas demandas consensualmente para reduzir, ou até mesmo evitar, a aplicação de sanções.
Ademais, como a LGPD foi inspirada na legislação europeia de proteção de dados, a General Data Protection Regulation (“GDPR”), é possível que a experiência das empresas brasileiras no processo de adequação à LGPD reflita vulnerabilidades semelhantes àquelas enfrentadas pelas organizações europeias durante a fase de adequação ao GDPR. Assim, para antever esses pontos críticos, é pertinente conhecer os principais fundamentos de aplicação de multas pelas autoridades de proteção de dados da Europa entre julho/2018 até agosto de 2021 (12), a saber: (i) processamento de dados em desacordo com os princípios aplicáveis (cerca de 780 milhões de euros em 160 multas); (ii) utilização de base legal insuficiente para o tratamento de dados (13) (cerca de 176 milhões de euros em 278 multas); (iii) adoção de medidas técnicas e organizacionais insuficientes para garantir a segurança da informação (cerca de 67 milhões de euros em 159 multas); e (iv) atendimento insuficiente aos direitos dos titulares de dados (cerca de 16 milhões de euros em 72 multas).
Por fim, como forma mais eficiente e sustentável de colocar em prática a LGPD, espera-se que a ANPD privilegie de fato a aplicação de medidas de educação continuada para elevar o nível de conscientização e contribuir para a construção de uma cultura de proteção de dados no Brasil. Quanto maior o comprometimento das empresas com a LGPD, construído pela clara percepção do valor que as condutas éticas, seguras e responsáveis no tratamento de dados agregam aos seus negócios, mais protegido estará o direito fundamental da privacidade. Em última análise, o benefício será de toda a sociedade.
O VLF Advogados possui uma equipe preparada para auxiliar as empresas nas questões jurídicas relativas aos projetos de adequação à LGPD, sempre atenta às orientações a serem ditadas pela ANPD. Para mais informações sobre a LGPD e projetos de adequação, basta entrar em contato com a equipe de consultoria do escritório.
Rodrigo Santos
Advogado da Equipe de Consultoria e Compliance do VLF Advogados
Fernanda Galvão
Sócia-executiva e Coordenadora da Equipe de Consultoria e Compliance do VLF Advogados
(1) Lei Federal nº 13.709/18.
(2) Para saber mais sobre a ANPD, confira nosso artigo publicado no Informativo VLF - 75/2020 (ANDRADE, Rodrigo; GALVÃO, Fernanda. É preciso temer a atuação da recém criada autoridade de Proteção de Dados? Disponível em: http://www.vlf.adv.br/noticia_aberta.php?id=854. Acesso em: 10 ago. 2021)
(3) O assunto referente a aplicação das sanções administrativas a delitos continuados está endereçado na pergunta #10 dos esclarecimentos disponibilizados pela ANPD sobre as sanções administrativas da LGPD, disponível em: https://www.gov.br/anpd/pt-br/assuntos/noticias/sancoes-administrativas-o-que-muda-apos-1o-de-agosto-de-2021. Acesso em: 10 ago. 2021.
(4) Antes do advento da LGPD, o Brasil possuía diversas leis setoriais que tratavam, dentre outros assuntos, da proteção da privacidade, inclusive com previsão de sanções. Por exemplo, o Marco Civil da Internet tutela o direito à privacidade e proteção de dados pessoais no tocante ao uso da internet (vide artigos 3º ‘II’ e ‘III’, 8º, 10º e 11º), prevendo sanções específicas no artigo 12º. O Código de Defesa do Consumidor garante ao consumidor direito de acesso aos respectivos dados pessoais (vide artigo 43) e prevê sanções administrativas em caso de violação dessa garantia (artigo 56). O Código Civil tutela os direitos da personalidade e da boa-fé (artigos 21, 187 e 422), inclusive nas atividades de tratamento de dados, prevendo o dever de reparação decorrente do ato ilícito (artigo 927).
(5) Vide minuta de resolução da ANPD, disponível em: https://www.gov.br/anpd/pt-br/assuntos/noticias/a-anpd-informa-que-realizara-audiencia-publica-sobre-a-norma-que-dispora-sobre-os-procedimentos-de-fiscalizacao-e-sancao-da-autoridade-no-dia-08-07-2021-de-10h-as-12h-e-de-14h-as-18h. Acesso em: 10 ago. 2021.
(6) Vide artigo 40, parágrafo 3º, da minuta da Resolução da ANPD.
(7) Essa é a posição da ANPD conforme consta da pergunta #5, Disponível em: https://www.gov.br/anpd/pt-br/assuntos/noticias/sancoes-administrativas-o-que-muda-apos-1o-de-agosto-de-2021. Acesso em: 10 ago. 2021.
(8) O conceito de incidente de segurança não se limita a vazamento de dados, e contempla também acesso não autorizado, perda, alteração ou exclusão incorreta de informações. Sobre esse tema, confira as informações disponibilizadas pela ANPD, disponíveis em: https://www.gov.br/anpd/pt-br/assuntos/incidente-de-seguranca. Acesso em: 10 ago. 2021.
(9) Disponível em: https://www2.deloitte.com/br/pt/pages/about-deloitte/articles/agenda2021.html. Acesso em: 13 ago. 2021.
(10) Disponível em: https://cio.com.br/noticias/pesquisa-apenas-4-das-pmes-estao-preparadas-para-a-lgpd/#:~:text=Levantamento%20da%20BluePex%20mostra%20que,ainda%20buscam%20informa%C3%A7%C3%B5es%20para%20adequa%C3%A7%C3%A3o&text=Apesar%20de%20estar%20em%20vigor,a%20LGPD)%20e%20potenciais%20penalidades. Acesso em: 13 ago. 2021.
(11) Vide artigo 55, ‘J’, V, da LGPD.
(12) O valor total das multas supera 1 bilhão de euros e, considerando que nem todas as sanções são aplicadas publicamente, o valor das multas pode não estar completo. Além daqueles indicados acima, os demais fundamentos de aplicação de multa foram: (i) atendimento insuficiente das obrigações de informação (cerca de 10 milhões de euros em 52 multas); (ii) atendimento insuficiente das obrigações de notificação em vaso de violação de dados (cerca de 1,2 milhões de euro em 20 multas); (iv) falta de indicação de DPO ou (13) Data Protection Officer (cerca de 200 mil euros em 7 multas); (v) cooperação insuficiente com a autoridade de supervisão (cerca de 200 mil euros em 32 multas); (vi) acordo de processamento de dados insuficiente (cerca de 93 mil euros em 4 multas); (vii) desconhecido (5oo euros em 1 multa). Disponível em: https://www.enforcementtracker.com/?insights. Acesso em: 17 ago. 2021.
(14) De acordo com o modelo adotado pelo GDPR (e pela LGPD), para o tratamento de dados pessoais é necessário ter uma base legal válida. A maior parte das bases legais exige que o tratamento de dados seja necessário para que se possa atingir uma finalidade específica. Se você atingir razoavelmente essa finalidade específica sem o tratamento de dados pessoais (seja por meios menos invasivos ou mediante o processamento de menor quantidade de dados) a base legal escolhida será insuficiente e inadequada. Disponível em: https://ico.org.uk/for-organisations/guide-to-data-protection/guide-to-the-general-data-protection-regulation-gdpr/lawful-basis-for-processing/. Acesso em: 17 ago. 2021.
