Por Luanna R. Peporini e Matheus Perez Matsuno

Apesar do alvoroço causado pela entrada em vigor, no último dia 1º de agosto, dos artigos da Lei nº 13.709/18 (Lei Geral de Proteção de Dados Pessoais ou LGPD) que tratam da aplicação de sanções administrativas previstas na lei pela Autoridade Nacional de Proteção de Dados (ANPD), neste primeiro momento as sanções não devem ser a principal razão para que as empresas se adequem à LGPD.

Em vigor desde 18 de setembro do ano passado, a LGPD dispõe sobre o tratamento de dados pessoais – ou seja, dados de pessoas físicas identificadas ou identificáveis – e visa proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural. Assim, a busca pelos direitos de privacidade e proteção de dados dos titulares deve ser uma meta traçada por todas as empresas.

Em contraponto, como garantia prática de respeito aos direitos mencionados, o descumprimento das disposições da LGPD, desde a sua entrada em vigor, pode acarretar ações judiciais individuais ou coletivas, bem como a aplicação de penalidades dispostas no Código de Defesa do Consumidor e no Marco Civil da Internet por órgãos de defesa do consumidor, que já vêm atuando nesse sentido.

Além disso, como forma de assegurar o cumprimento do disposto na LGPD, a própria norma prevê a aplicação de sanções administrativas pela ANPD (artigos 52 a 54). Entre elas, cita-se a multa de até 2% do faturamento no último exercício, excluídos os tributos, com limite de R$ 50 milhões por infração, e a proibição parcial ou total do exercício de atividades relacionadas ao tratamento de dados. Tais sanções são aplicáveis apenas a fatos iniciados após 1º de agosto de 2021 ou fatos continuados iniciados antes dessa data.

Entretanto, ao que tudo indica, aplicação dessas penalidades não será a postura inicial da ANPD. Isso porque o artigo 53 da LGPD estabelece que a ANPD deve editar regulamento próprio em relação às sanções, contendo, inclusive, metodologias que orientem o cálculo do valor-base das multas aplicáveis. O denominado Regulamento de Fiscalização e Aplicação de Sanções Administrativas passou por consulta pública e está em fase de conclusão, com exceção da dosimetria e das multas, que ainda serão objeto de consulta pública.

O documento ainda pode ser editado, mas apresenta uma estrutura que não prevê a aplicação imediata de sanções aos agentes de tratamento de dados, mas sim uma conduta inicial de cunho educativo. Por exemplo, o regulamento dispõe primeiro sobre a postura de monitoramento, orientação e atividades preventivas, antes de abordar a aplicação das sanções.

Não bastasse isso, a LGPD determina que a aplicação de tais sanções requer apreciação criteriosa e ponderação de diferentes circunstâncias, em consonância com a gravidade e a natureza das infrações, bem como dos direitos pessoais afetados, grau do dano, condição econômica do infrator, seu nível de cooperação, adoção de política de boas práticas e governança e pronta adoção de medidas corretivas.

A aplicação de sanções administrativas deve obrigatoriamente respeitar o direito ao devido processo e à ampla defesa, nos termos da Lei nº 9.784/99 e dos próprios regulamentos da ANPD. Nesse sentido, o regulamento determina que o processo sancionador compreenderá as seguintes fases: instauração, instrução, decisão e recurso.

Neste primeiro momento após a entrada em vigor das sanções administrativas, a postura da ANPD tende a ser mais didática e educativa, priorizando, quando muito, a aplicação da sanção de advertência, a fim de contribuir para a conscientização sobre as questões de privacidade e proteção de dados por meio do diálogo.

Entretanto, o descumprimento das regras de tratamento de dados pessoais também está sujeito a outras penalidades não previstas na LGPD, já que estas não substituem a aplicação de sanções administrativas, civis ou penais definidas no Código de Defesa do Consumidor e em legislação específica, por iniciativa de outros órgãos, como Ministério Público, Procon, Defensoria Pública e associações, mediante instauração de processos administrativos ou ajuizamento de ações coletivas, ou mesmo por iniciativa de particulares, via ações individuais.

Nossa recomendação é que as empresas busquem a adequação à LGPD não apenas em razão de sanções que podem ser aplicadas pela ANPD, mas também por respeito aos direitos dos titulares de dados pessoais e por todos os outros riscos relacionados à falta de adequação.

Inscreva-se aqui caso queira receber nosso boletim com informações oficiais da ANPD.