Consultor Jurídico

Opinião

LGPD: vamos falar sobre sanções não pecuniárias ao setor público?

Por 

A Lei Geral de Proteção de Dados (Lei 13.709/18) gerou extensas discussões doutrinárias a respeito de princípios, direitos, deveres e sanções regulatórias por descumprimento ou irregularidades ao tratamento de dados pessoais no país. Contudo, pouco se aprofunda a doutrina jurídica em discutir as "sanções regulatórias em face do setor público".

É certo que as sanções pecuniárias por infração em decorrência do tratamento de dados, as quais podem chegar até R$ 50 milhões por infração, não são aplicáveis ao setor público. É certo também que, em ocasião de vazamento de dados pelo setor público, os agentes responsáveis poderão receber informe da autoridade nacional (ANPD) para: 1) fazer cessar a violação; 2) publicar relatórios de impacto à proteção de dados (RIPDs); e 3) adotar padrões e boas práticas no tratamento aos dados pessoais. É certo, ao final, que o parágrafo 3º do artigo 52 da LGPD prevê a possibilidade de penalizar servidores públicos responsáveis pelo vazamento de dados na esfera criminal e sob a ótica da improbidade administrativa.

Entretanto, a reflexão que ora se propõe é justamente chamar atenção para as sanções regulatórias e não pecuniárias que podem ser impostas ao setor público, muitas das quais poderão trazer resultados financeiros tão ou mais agressivos do que as próprias multas milionárias dispostas pela LGPD.

O artigo 52 da LGPD dispõe sobre as sanções que ANPD poderá aplicar aos infratores, agentes de tratamento de dados (grifos nossos):

"Artigo 52 — Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas nesta lei, ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional:
I. advertência, com indicação de prazo para adoção de medidas corretivas;
II. multa simples, de até 2% do faturamento da pessoa jurídica de Direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50 milhões por infração;
III. multa diária, observado o limite total a que se refere o inciso II;
IV. publicização da infração após devidamente apurada e confirmada a sua ocorrência;
V. bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
VI. eliminação dos dados pessoais a que se refere a infração;
VII. (vetado);
VIII. (vetado);
IX. (vetado).
X. suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de seis meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;
XI. suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de seis meses, prorrogável por igual período;
XII. proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados".

O parágrafo 3º do artigo 52 da LGPD dispõe sobre as sanções que ANPD poderá aplicar aos infratores, agentes de tratamento de dados do setor público:

"§ 3º. O disposto nos incisos I, IV, V, VI, X, XI e XII do caput deste artigo poderá ser aplicado às entidades e aos órgãos públicos, sem prejuízo do disposto na Lei nº 8.112, de 11 de dezembro de 1990, na Lei nº 8.429, de 2 de junho de 1992, e na Lei nº 12.527, de 18 de novembro de 2011".

Para Nester e Müeller [1], "o impacto de cada uma das sanções evidencia uma linha crescente de gravidade. O dispositivo começa elecando a advertência como pena leve, para infrações de menor gravidade".

De fato, os juristas entendem que os incisos IV, V e VI do artigo 52 cuidam de penas mais graves com freio ao desenvolvimento das atividades do agente de tratamento enquanto não solucionado o problemas; e os incisos X, XI e XII de sanções mais severas, capazes até de inviabilizar a própria atividade da pessoa jurídica.

Em se falando de setor público, as sanções de advertência e publicização serão disciplinares, com nítido teor educativo e coadunarão com a fase inicial de implantação da LGPD pelos órgãos públicos. Já as medidas de bloqueio, eliminação, suspensão de funcionamento de banco de dados e suspensão ou eliminação da atividade de tratar dados, não, pois poderão ultrapassar o caráter punitivo do agente para, na prática, punir o próprio cidadão, titular de dados.

Basta imaginar a hipótese de que determinado município não trate corretamente seu banco de dados, haja procedimento administrativo para garantir ampla defesa do município e mesmo assim a ANPD entenda que a dosagem das sanções, nos termos do parágrafo 1º do artigo 52 da LGPD, indique aplicação de "suspensão parcial do tratamento dos dados de IPTU por 180 dias, prorrogável por mais 180 dias". Agora, imagine que esta decisão definitiva da ANPD ocorra em janeiro, momento do fato gerador do IPTU e lançamento dos carnês para pagamento?

Independentemente de estar correta a decisão ou não, ser constitucionalmente aceitável ou não a intervenção federal da ANPD à atividade estatal do município, de o caso permitir discussão judicial ou não, o exercício proposto é pensar no cumprimento da decisão pelo município que ficará impedido de receber os recursos financeiros do IPTU por 12 meses. E em razão disso, haverá substancial prejuízo: 1) aos investimentos nas áreas da saúde, educação e transporte públicos, custeados, em parte, com a arrecadação de IPTU; 2) ao cidadão, titular dos dados não corretamente tratados, que utiliza e depende destes serviços; e 3) às demais secretarias que terão seus orçamentos remanejados e reduzidos para que o impacto social com menor investimento não seja catastrófico.

Tanto a ANPD quanto o setor público terão que se alinhar para que o efetivo objetivo da LGPD seja atendido: preservar direitos dos titulares a partir de tratamento regular de dados pelos órgãos públicos que necessitam deles para atingir sua finalidade pública.

Considerando que em São José dos Campos (SP), por exemplo, a expectativa de arrecadação com IPTU gira na casa dos R$ 200 milhões por ano [2], as multas dos incisos II e III do artigo 52 passam até ser desejáveis.




Topo da página

 é advogada, secretária jurídica do município de São José dos Campos (SP), especialista em Direito Público pela EPM, profissional certificada em Compliance Anticorrupção pela Legal, Ethics and Compliance (LEC) e presidente do Grupo de Trabalho para Estudos e Soluções (GTPD) visando adequar a Administração direta municipal de São José dos Campos à LGPD.

Revista Consultor Jurídico, 27 de dezembro de 2020, 13h30

Comentários de leitores

0 comentários

Comentários encerrados em 04/01/2021.
A seção de comentários de cada texto é encerrada 7 dias após a data da sua publicação.