Artigo de Júlia Medeiros

Em 1º de agosto de 2021 tornam-se vigentes as Sanções Administrativas previstas na Lei Geral de Proteção de Dados – LGPD. Você está preparado?

A Lei Geral de Proteção de Dados (LGPD) aprovada em agosto de 2018, com entrada em vigor em setembro de 2020, versa sobre a proteção aos direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural, trazendo em seu texto sanções administrativas em caso de descumprimento das diretrizes dispostas na Legislação.

A Lei 14.010/2020, que dispõe sobre o Regime Jurídico Emergencial e Transitório das relações jurídicas de Direito Privado (RJET) no período da pandemia do Coronavírus (Covid-19), previu o início da vigência das sanções administrativas previstas na LGPD, conforme dispõe o artigo 20, somente a partir de 1º de agosto de 2021. Tal fato ocorreu em razão da instabilidade provocada pela pandemia de coronavírus e, consequentemente, ao contexto socioeconômico crítico. 

Criação da ANPD

Com o surgimento da LGPD, foi criada a figura da ANPD – Autoridade Nacional de Proteção de Dados com o objetivo de ser o órgão da administração pública federal responsável por zelar pela proteção de dados pessoais e por implementar e fiscalizar o cumprimento da LGPD. A ANPD é o único órgão permitido a aplicar sanções administrativas previstas em lei aos agentes de tratamento que descumprirem a Legislação.

A LGPD traz, em seu artigo 46, que os agentes de tratamento, controlador e operador, devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.

Sanções e multas da LGPD aplicadas pela ANPD

Em caso de tratamento irregular de dados pessoais por descumprimento de obrigações que possa ou leve a causar um incidente de segurança, os agentes de tratamento de dados estarão sujeitos às sanções administrativas aplicáveis pela ANPD. Sendo elas:

  • Advertência, com indicação de prazo para adoção de medidas corretivas;
  • Multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
  • Multa diária, observado o limite de cinquenta milhões de reais por infração;
  • Publicização da infração após devidamente apurada e confirmada a sua ocorrência; O que, de logo, verifica-se como risco reputacional, no qual estão ligados diretamente a problemas e danos relacionados à imagem e a marca de uma empresa. No mundo corporativo, a reputação de uma empresa é um dos seus maiores ativos, e também um dos mais frágeis, que não vale a pena arriscar;
  • Bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
  • Eliminação dos dados pessoais a que se refere a infração;
  • Suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;
  • Suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período;
  • Proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados. 

Aplicabilidade das multas e sanções da LGPD

As sanções e multas da LGPD poderão ser aplicadas após procedimento administrativo que possibilite a oportunidade da ampla defesa, de forma gradativa, isolada ou cumulativa, de acordo com as peculiaridades do caso concreto e considerados os seguintes parâmetros e critérios de gravidade:

  • Anatureza das infrações e dos direitos pessoais afetados;
  • A boa-fé;
  • A vantagem auferida ou pretendida;
  • A condição econômica do infrator
  • A reincidência;
  • O grau do dano;
  • A cooperação do infrator e adoção reiterada;
  • A demonstração de mecanismos e procedimentos internos capazes de minimizar o dano e de medidas corretivas;
  • A adoção de política de boas práticas e governança; e
  • A  proporcionalidade entre a gravidade da falta e a intensidade da sanção.

A aplicação gradativa das penalidades significa que as sanções mais graves, como proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados, somente deverão ser aplicadas após imposição de penas mais brandas, como por exemplo, a publicização da infração e multa diária.

O processo administrativo permite recurso para o conselho diretor, que, em regra, não tem efeito suspensivo, ou seja, a sanção é aplicável imediatamente. Somente em caso de reforma da decisão, a sanção será revogada. Vale ressaltar que as multas aplicadas, quando não pagas, sujeitarão os agentes de tratamento à inscrição em dívida ativa e execução fiscal pela União, com todas as consequências negativas conhecidas para os devedores de tributos federais.

Outras sanções

É verdade que a ANPD se encontra em processo de formação, e está bem direcionada em iniciar suas atividades com poder educativo e orientativo, na intenção de obter uma cultura de privacidade, muito mais do que na mera aplicação de sanções.

Porém, não existem somente as sanções administrativas previstas na LGPD capazes de penalizar os agentes de tratamentos que infringirem a Lei. É possível também, o que já vem acontecendo, desde o surgimento da LGPD, de aplicações de sanções e multas cíveis, penais e trabalhistas previstas em legislação específica, no entanto baseadas na LGPD.

Dessa forma, outros órgãos fiscalizadores também podem punir caso seja analisado e comprovado que o agente de tratamento descumpriu com as diretrizes da LGPD, a exemplo, o PROCON, Senacom, IDEC, Ministério Público, Sindicato da Categoria e o próprio titular de dados, este sendo qualquer pessoa física que sofrer dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais.

Segundo levantamento realizado a pedido do Valor pela Data Lawyer, dados de 26 de novembro de 2020, já existem 139 ações trabalhistas, que somam R$15 milhões, baseadas e fundamentadas na LGPD, sendo a sua maior parte tramitando no Estado de São Paulo.

É preciso se preparar

Portanto, véspera da validade da vigência das sanções previstas na LGPD, pode-se esperar aumento da demanda de penalizações, não somente aquelas previstas no texto de lei, em razão da crescente conscientização quanto à relevância dos dados pessoais, com atuação intensa da fiscalização e aplicação de sanções tanto pela ANPD quanto por outros órgãos públicos, entidades e do próprio titular de dados em busca da defesa de interesses coletivos e individuais.

Dessa forma, é importante que as empresas estejam preparadas para atender os direitos dos titulares, investindo na prevenção e mitigação dos riscos, respondendo as notificações da ANPD com documentação técnica e jurídica necessária, devendo, em especial, e até o momento, de forma obrigatória para todas as empresas, nomear um encarregado de dados (Data Protection Officer ou DPO), sendo a pessoa responsável pela comunicação direta com o titular e a ANPD para com o controlador, além de realizar o monitoramento das ações e processos da organização, verificando se encontra-se em compliance com a LGPD.

Para mais informações acerca do tema  Proteção de Dados referentes a Consultoria, Adequação e Compliance à LGPD, entre em contato conosco. Temos uma equipe altamente capacitada para entender as particularidades de cada empresa e propor soluções eficientes para uma alta governança.


    Sobre a autora: Júlia Medeiros é advogada, especialista em Direito Digital e Direito do Trabalho. Pós-graduada em Direito Digital e em andamento LLM em Direito Empresarial. Atuação profissional com mais de 10 anos de experiência, atendendo às demandas de clientes e empresas de grande porte em diversos segmentos de mercado. Membro da ANPPD (Associação Nacional dos Profissionais de Privacidade de Dados). Membro da Comissão de Direito das Startups da OAB/PE. Membro da ANADD (Associação Nacional de Advogados do Direito Digital) – Comitê de Relações Trabalhistas no Digital. Possui Certificação PDPE Essentials (Especialização em LGPD) pela EXIN.