Muita coisa aqui no Brasil só funciona quando dói no bolso. É ou não é verdade?!?! As penalidades da Lei Geral de Proteção de Dados começam a ser aplicadas a partir de hoje, três anos após a sanção. A medida permite a nós cidadãos mais “poder” sobre nossos dados pessoais.
A ANPD Autoridade Nacional de Proteção de Dados poderá, a partir de hoje, advertir e multar empresas físicas e virtuais e órgãos públicos que descumprirem as normas de proteção de dados pessoais com multas que podem chegar até 50 milhões de reais. O prazo de três anos foi fundamental para permitir que as empresas se adaptassem ao novo marco regulatório. Sabemos que nem todo mundo se preocupou tanto com isso e agora estão na busca desacerbada em contratar profissionais e escritórios de advocacia capazes de oferecer os serviços de consultorias, entre outros.
As exigências valem tanto para as lojas físicas quanto para as virtuais, situadas no Brasil ou no exterior que ofereçam serviços para pessoas localizadas no País
A entrada em vigor das sanções dará ainda mais proteção a nós consumidores e segurança ao mercado brasileiro que ingressa no rol de mercados internacionais com a proteção de seus dados. As sanções serão aplicadas pela Autoridade Nacional de Proteção de Dados, criada em setembro do ano passado.
Recentemente a Autoridade Nacional de Proteção de Dados lançou uma consulta pública sobre as sanções para dar mais transparência e ponderações às multas. Do ponto de vista do consumidor já existia um movimento do Procon de controlar o compartilhamento irrestrito dos dados. As punições vão contribuir para a proteção de dados pessoais e evitar casos como o do megavazamento de informações vinculadas a mais de 220 milhões de CPFs no início do ano.
Mas, o que é a Lei Geral de Proteção de Dados Pessoais – LGPD?
Se você ainda não teve acesso na íntegra da lei, debruce algumas horas para você ler com muita calma. A Lei Geral de Proteção de Dados Pessoais (LGPD), Lei nº 13.709, de 14 de agosto de 2018, dispõe sobre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural. Conforme o art. 5º da LGPD, dado pessoal é toda informação relacionada a pessoa natural identificada ou identificável.
Direitos dos titulares de dados pessoais
Toda pessoa natural tem assegurada a titularidade de seus dados pessoais e garantidos os direitos fundamentais de liberdade, de intimidade e de privacidade, nos termos da LGPD (artigo 17 da LGPD). A Lei preconiza em levar o Brasil para um patamar de países que têm responsabilidade com dados, o que é bom. Sem contar que empresas que investem no tratamento dos dados são muito mais lucrativas.
A escassez de especialistas em proteção de dados.
O principal desafio a ser vencido por uma boa parte das empresas e órgãos públicos para o cumprimento da lei, é a escassez de especialistas em proteção de dados. Esse é um problema enfrentado pela própria ANPD. Mas hoje não é a empresa pequena que está no radar da ANPD, são os bancos, e-commerces, empresas de telefonia, entre outros. As empresas que investirem ou investiram em proteção de dados, agora terão a chance de se adiantar e crescer em um mercado que ainda está engatinhando. O empresário que se adequou a isso nesses últimos três anos largou na frente.
Considerando a entrada em vigor dos artigos da LGPD que tratam das sanções administrativas, seguem alguns esclarecimentos:
Quando as sanções previstas na LGPD entram em vigor?
Os artigos 52, 53 e 54 da LGPD, referentes às sanções administrativas, têm sua entrada em vigor em 1o de agosto de 2021.
Quais sanções podem ser aplicadas pela ANPD?
A LGPD previu um rol variado de sanções administrativas, de natureza admoestativa, pecuniária e restritiva de atividades. Conforme o art. 52 da LGPD, a ANPD pode aplicar as seguintes sanções administrativas:
- advertência, com indicação de prazo para adoção de medidas corretivas;
- multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
- multa diária, observado o limite total a que se refere o inciso II;
- publicização da infração após devidamente apurada e confirmada a sua ocorrência;
- bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
- eliminação dos dados pessoais a que se refere a infração;
- suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;
- suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período;
- proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
As sanções administrativas previstas pela LGPD são passíveis de aplicação somente pela ANPD.
Outros órgãos públicos podem aplicar essas sanções?
Conforme dispõe o caput do artigo 52 da LGPD, as sanções administrativas previstas pela LGPD são passíveis de aplicação somente pela ANPD. Além disso, a Lei estabelece que as competências da ANPD prevalecerão, no que se refere à proteção de dados pessoais, sobre as competências correlatas de outras entidades ou órgãos da administração pública.
Vale lembrar, entretanto, que, nos termos da Lei, a aplicação das sanções previstas na LGPD não substitui a aplicação de sanções administrativas, civis ou penais definidas na Lei nº 8.078, de 11 de setembro de 1990 (Código de Defesa do Consumidor) e em legislação específica. Assim, eventual atuação de outros órgãos públicos, como agências reguladoras ou órgãos de defesa do consumidor, deve se dar segundo as suas próprias competências, ao abrigo de suas legislações específicas.
Como a Autoridade vem se estruturando para aplicar sanções?
A LGPD determina que a ANPD deverá editar regulamento próprio sobre sanções administrativas, que deverá ser objeto de consulta pública, contendo as metodologias que orientarão o cálculo do valor-base das sanções de multa. As metodologias para as sanções pecuniárias devem ser previamente publicadas e devem apresentar objetivamente as formas e dosimetrias para o cálculo do valor-base das sanções de multa, que deverão conter fundamentação detalhada de todos os seus elementos, demonstrando a observância dos critérios previstos na LGPD.
Nos termos da Lei, a aplicação de sanções requer, ainda, criteriosa apreciação e ponderação de diversas circunstâncias, dentre as quais a gravidade e a natureza das infrações e dos direitos pessoais afetados, a condição econômica do infrator, o grau do dano, a cooperação do infrator, a adoção de política de boas práticas e governança e a pronta adoção de medidas corretivas.
Tendo em vista tais parâmetros, e em conformidade com sua Agenda Regulatória, a ANPD encontra-se em fase de conclusão da elaboração do Regulamento de Fiscalização e Aplicação de Sanções Administrativas, que passou por Consulta Pública entre 28 de maio e 28 de junho de 2021.
Há um cronograma para a aprovação do regulamento e a efetiva aplicação de penalidades?
A minuta de Regulamento de Fiscalização e Aplicação de Sanções Administrativas encontra-se em fase final de análise e deve, nas próximas semanas, ser remetida ao Conselho Diretor da ANPD para deliberação. Em paralelo, encontram-se também em estudo as metodologias que orientarão o cálculo do valor-base das sanções de multa.
A aplicação de penalidades, por sua vez, deve ser precedida de procedimento administrativo que possibilite a oportunidade de ampla defesa e de recursos administrativos, em consonância com a Lei nº 9.784, de 29 de janeiro de 1999, a legislação especial e os demais regulamentos pertinentes da ANPD.
Qual abordagem terá a ANPD quanto a eventuais infrações cometidas?
Segundo a proposta de regulamento submetida à Consulta Pública, ainda sujeita a alterações em razão das contribuições recebidas, prevê-se que a atuação da ANPD se dê conforme uma abordagem responsiva, ou seja, de maneira gradual, baseada no comportamento do regulado e alicerçada em um plano de monitoramento do setor que permita a priorização de temas segundo seu risco, gravidade, atualidade e relevância.
Assim, a proposta de regulamento prevê etapas de monitoramento, orientação, prevenção e repressão de infrações, levando em consideração as informações recebidas a partir de reclamações, denúncias, representações e notificações de incidentes para estabelecer prioridades a serem incluídas na agenda de fiscalização.
A ANPD pretende se articular com outros órgãos públicos para fins de fiscalização?
A LGPD prevê que a ANPD articulará sua atuação com outros órgãos e entidades com competências sancionatórias e normativas afetas ao tema de proteção de dados pessoais e será o órgão central de interpretação da Lei e do estabelecimento de normas e diretrizes para a sua implementação. Assim, a ANPD já possui acordos de cooperação técnica firmados com a Secretaria Nacional do Consumidor – SENACON e com o Conselho Administrativo de Defesa Econômica – CADE que permitem o desenvolvimento de atividades conjuntas em temas que gerem repercussões nas áreas de atuação dos órgãos envolvidos. Já há, inclusive, casos concretos sob análise da Autoridade que envolvem a atuação cooperativa com esses órgãos e com o Ministério Público. A ANPD espera continuar ampliando as relações de parceria com outros órgãos públicos, com vistas a imprimir maior efetividade à sua atuação, em defesa dos direitos dos titulares de dados.
Como serão penalizados os órgãos públicos?
Os órgãos e as entidades públicas poderão ser punidos com todas as sanções administrativas previstas na LGPD, salvo as sanções pecuniárias. Ademais, a LGPD prevê a possibilidade de responsabilização de agentes públicos, nos termos previstos na Lei nº 8.112, de 11 de dezembro de 1990 (Estatuto do Servidor Público), na Lei nº 8.429, de 2 de junho de 1992 (Lei da Improbidade Administrativa) e na Lei nº 12.527, de 18 de novembro de 2011 (Lei de Acesso à Informação).
Haverá algum canal para comunicar à ANPD eventuais infrações relacionadas com a LGPD
Já existe um canal apropriado para comunicação de infrações relacionadas ao descumprimento da LGPD. As instruções completas podem ser consultadas por meio desse link: clique aqui
Em quais situações a ANPD pode aplicar essas sanções? Somente se houver vazamento de dados pessoais? Ou há outras possibilidades?
O descumprimento das obrigações previstas na LGPD é passível de sanção pela ANPD. Existem obrigações para além daquelas relacionadas ao vazamento de dados pessoais.
Como serão calculadas as multas?
O cálculo das multas considerará os parâmetros estabelecidos pela LGPD (art. 52). A metodologia para o cálculo ainda será submetida à consulta pública.
A ANPD já tem equipe formada para monitorar o cumprimento da LGPD, receber denúncias e aplicar as sanções?
De acordo com o Regimento Interno da ANPD, aprovado pela Portaria nº 1, de 8 de março de 2021, a Coordenação-Geral de Fiscalização é a unidade responsável por essa atividade. Os cargos previstos para realização dessa atividade pelo Decreto nº 10.474, de 26 de agosto de 2020, encontram-se devidamente preenchidos.
Os processos administrativos da ANPD podem ser consultados publicamente? Onde?
O acesso aos processos administrativos em andamento na ANPD segue as regras da Lei de Acesso à Informação e os pedidos de acesso podem ser apresentados por meio da plataforma Fala.BR.
Bom pessoal, é isso aí! Desculpem pelo “textão” mas é muito importante estarmos com nossos radares atentos às questões que tratam a LGPD. Se pintar dúvida por aí, entre em contato conosco, será um prazer poder ajudar.
Forte abraço!
Jackson Galvani