Agosto chegou e com ele as sanções da LGPD, e agora?

Muito tem se falado nos grupos de debate acerca da Lei 13.709/2018 e o mês de Agosto. A expectativa diz respeito à entrada em vigor dos artigos 52, 53 e 54 da Lei Geral de Proteção de Dados Pessoais. A LGPD passará a contar com o capítulo que se refere às sanções administrativas trazidas pela lei.

Nesse sentido, a partir de 1º de agosto de 2021, a LGPD estará integralmente em vigor, mas na prática, o que isso significa? Muitas pessoas podem estar se perguntando, considerando que a Lei estava vigente desde 18 de setembro de 2020. A mais importante expectativa, se refere a atuação da Autoridade Nacional de Proteção de Dados, que poderá determinar sanções administrativas por descumprimento à lei. A ANPD, por sua vez, já se posicionou no sentido de que nesse primeiro momento será mais orientativa que punitiva, o que não significa dizer que não irá apurar eventuais denúncias. E que não haverá nenhum prejuízo para quem ainda não se adequou.

Embora muito se fale em relação às multas, as sanções trazidas pela legislação vão muito além de valores pecuniários, pois a depender do porte da empresa, uma multa pode impactar de forma insignificante, mas pode abalar a reputação e a imagem da empresa. É importante destacar, que multas não são, nem de longe, o maior impacto a ser observado trazido pela LGPD. Vejamos como o caso do Facebook pode esclarecer esse ponto.

No episódio “Cambridge Analytica” o Facebook foi multado em 5 bilhões de dólares, a multa foi aprovada pela Comissão Federal de Comércio dos Estados Unidos (FTC – sigla em inglês), a empresa viu suas ações despencarem 9,15%, em virtude do escândalo sobre vazamento de dados e por violar a privacidade de seus usuários. “Após dias de queda de suas ações na bolsa dos Estados Unidos, o Facebook perdeu mais de US$ 49 bilhões em valor de mercado em dois dias”. Desde então vem perdendo a simpatia dos usuários, e isso impacta não apenas em suas ações na bolsa de valores, também caiu no ranking das maiores empresas do mundo em valor de mercado. Sem contar o impacto na credibilidade, na reputação e na sua imagem, por consequência pode ocasionar o esvaziamento de usuários da rede social. Menos usuários, menos publicidade direcionada ao Facebook, menos lucro.

A desconfiança com a marca ficou clara, quando o aplicativo WhatsApp, uma das empresas de Mark Zuckerberg, alterou os seus termos de uso, onde informava, entre outras coisas, que compartilharia dados dos usuários do app com o Facebook. O fato desagradou tanto os usuários, que ele se viu pressionado a voltar atrás em relação ao prazo para que os usuários aceitassem seus termos de uso, sob pena de não conseguirem mais usar o app. Muitos usuários, inclusive, migraram para outros apps de mensagem, como Telegram e Signal. Os apps citados cresceram 900% após o impacto do termo de uso do WhatsApp, que por sua vez, viu os seus downloads caírem 43% no período em relação ao mesmo intervalo de 2020.

“Se o caso apontado reverberou em uma gigante mundial como o Facebook, como poderia impactar uma pequena ou média empresa?”

Pessoas físicas ou jurídicas, de direito público ou privado, que atuem tratando dados pessoais, seja de clientes, fornecedores, funcionários ou terceirizados, independentemente se os dados estão sendo tratados no formato físico ou digital, devem estar devidamente adequadas à legislação, sob pena de seus agentes de tratamento – controlador e operador – estarem infringindo as normas previstas na LGPD. Importante pontuar, que os princípios devem ser observados, pois desrespeitá-los também demonstra inobservância à LGPD.

Com a entrada em vigor das sanções administrativas, é possível que o cidadão, titular, possa fazer denúncias à ANPD com desdobramentos, no tocante às sanções. E essa possibilidade não interfere na busca de indenização, por eventuais danos, através de demandas judiciais. Atualmente, já são “cerca de 600 sentenças judiciais, onde empresas são questionadas pelo uso dos dados pessoais de cidadãos. As ações foram registradas de 18 de setembro de 2020 a 25 de junho deste ano”.

É importante que as organizações possam refletir para viabilizar um ambiente voltado ao atendimento dos titulares para casos de vazamentos individuais ou de acessos não autorizados aos dados pessoais (incidentes de segurança), pois a legislação trouxe a possibilidade de o titular buscar a conciliação direta com o controlador e, caso não haja acordo, o controlador estará sujeito à aplicação das penalidades cabíveis.

Entre as sanções trazidas pela legislação que entraram em vigor em 1º de agosto, destaca-se a advertência, a publicização da infração, bloqueio dos dados pessoais, eliminação dos dados pessoais relacionado à infração, suspensão parcial do funcionamento do banco de dados relativo à infração, suspensão do exercício da atividade de tratamento dos dados relacionada à infração pelo período máximo de 6 (seis) meses, prorrogável por igual período; proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados; e as multas simples e diária, sendo a simples de até 2% do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício limitadas a R$ 50.000.000,00 (cinquenta milhões de reais) por infração, e a diária, limitada ao mesmo valor.

As sanções serão aplicadas respeitando o procedimento administrativo e a ampla defesa, e poderão ser aplicadas de forma gradativa, isolada ou cumulativa, alguns parâmetros e critérios trazidos pela lei, quais sejam, a gravidade e a natureza das infrações e dos direitos pessoais afetados; a boa-fé do infrator; a vantagem auferida ou pretendida pelo infrator; a condição econômica do infrator; a reincidência; o grau do dano; a cooperação do infrator; a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados; a adoção de política de boas práticas e governança; a pronta adoção de medidas corretivas; e a proporcionalidade entre a gravidade da falta e a intensidade da sanção.

Por fim, a LGPD traz que o valor da sanção de multa diária aplicável às infrações deve observar a gravidade da falta e a extensão do dano ou prejuízo causado e ser fundamentado pela autoridade nacional.

A ANPD, por sua vez, publicou uma Resolução de Fiscalização onde discorre sobre os  meios de atuação da fiscalização onde destaca que poderá atuar de ofício, movida por representações ou denúncias; em decorrência de programas periódicos de fiscalização da ANPD; de forma coordenada com órgãos e entidades públicos responsáveis pela regulação de setores específicos da atividade econômica e governamental; ou em cooperação com autoridades de proteção de dados pessoais de outros países, de natureza internacional ou transnacional.

A Autoridade afirma em seu site que “articulará sua atuação com outros órgãos e entidades com competências sancionatórias e normativas afetas ao tema de proteção de dados pessoais e será o órgão central de interpretação da Lei e do estabelecimento de normas e diretrizes para a sua implementação”.  Essa articulação possibilitará à ANPD braços necessários para atuar de forma eficaz em todo território nacional.

A ANPD realizou audiência pública sobre a minuta de resolução que dispõe sobre a fiscalização e aplicação de sanção pela ANPD, que ocorreu em 15 e 16 de julho de 2021. Além disso, a ANPD aduz em seu site que submeterá à consulta pública norma específica para tratar das sanções e dosimetria. Após consultas públicas a minuta de resolução poderá sofrer alterações. No seu canal do YouTube a Autoridade afirma que:

A estratégia de atuação fiscalizatória da ANPD será baseada nos seguintes valores:

(i) regulação baseada em evidências;

(ii) proporcionalidade entre riscos e recursos alocados;

(iii) transparência e permeabilidade, que permitam à sociedade não só acompanhar, como também contribuir para o aprimoramento da atuação da ANPD;

(iv) processos transparentes e justos, com regras claras sobre direitos e obrigações; e

(v) promoção da conformidade pelos mais diversos instrumentos e abordagens.

A ANPD está buscando ouvir a sociedade, organizações e seus representantes, especialistas e encarregados, visando pautar sua conduta de maneira estratégica, assertiva e justa, mas a sua atuação nunca será satisfatória do ponto de vista das organizações que não fizeram e não estão fazendo sua parte para se adequarem à legislação. Afinal, em algum momento a atuação da ANPD impactará essas organizações.

Importante destacar que o próprio mercado irá fazer sua parte nesse processo, afinal, a empresa que investiu tempo e dinheiro em uma adequação, não ficará satisfeita ao verificar que um concorrente está atuando sem estar adequado, logo as denúncias também virão do próprio mercado.

Que tal fazer a sua parte? Sua empresa está pronta? Antes tarde do que nunca, ainda dá tempo.

Ana Paula M. Canto de Lima – Advogada, fundadora do escritório Canto de Lima Advocacia, mestre em Consumo, Cotidiano e Desenvolvimento Social, escritora e professora em diversas pós-graduações em Direito Digital e Proteção de Dados. Cofundadora do curso LGPD Learning, e da plataforma “Cadê meu dado?” Presidente da Subcomissão de Privacidade e Proteção de Dados da OAB/PE, membro correspondente da Comissão de Privacidade e Proteção de Dados da OAB/SP, Presidente da Comissão de Crimes Cibernéticos da Academia Brasileira de Ciências Criminais (ABCCRIM), coordenadora do Núcleo de Direito e Tecnologia da Escola Superior da Advocacia de Pernambuco (ESA/PE). Autora das obras “LGPD: sua empresa está pronta?” e “LGPD Aplicada”.

 Nota EXIN: Faça o download gratuito do WORKBOOK com o conteúdo da certificação EXIN PDPE (LGPD)