Implacável tempo: é chegada a hora das sanções administrativas da LGPD

A Lei Geral de Proteção de Dados Pessoais, bem conhecida como LGPD, legislação com o maior tempo de vacatio legis em nosso ordenamento jurídico, está prestes a ter em vigor a plenitude de suas disposições, isso porque, em seu artigo 65, as sanções administrativas previstas nos artigos 52, 53 e 54, produzem seus efeitos a partir de 1° de agosto. A contagem regressiva já começou!

Além disso, embora não seja o foco deste artigo, de bom alvitre constar que a LGPD trouxe em seu bojo a responsabilidade civil dos agentes de tratamento de dados pelos danos patrimoniais, morais, individuais ou coletivos que causarem ao titular de dados. Sobre o assunto, veiculou-se neste mês a notícia de que a Justiça brasileira já prolatou 600 decisões envolvendo a lei em questão. Embora sob a perspectiva do total de processo em tramitação no país esse número não seja tão alarmante, é suficiente para indicar o início de uma mudança de cultura já esperada: titulares de dados estão e estarão cada vez mais conscientes de seus direitos.

Feitas tais considerações, com relação às sanções administrativas, nos moldes do disposto no artigo 52 da lei em questão, a empresa que não se adequar ficará sujeita às sanções a serem aplicadas pela Autoridade Nacional de Proteção de Dados, que podem ser desde uma advertência com prazo para correção até a proibição total ou parcial do exercício de atividades relacionadas ao tratamento de dados, passando por penalidades de caráter pecuniário, como a multa simples de até 2% do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil, limitada à R$ 50 milhões por infração, e multa diária que obedece ao mesmo limite em milhões indicado na lei [1].

Portanto, não é demais afirmar que a adequação das empresas à LGPD é um caminho que não mais admite volta.

Nesse contexto, a Autoridade Nacional está em vias de aprovar seu regulamento de fiscalização, dispondo sobre a fiscalização e aplicação das sanções administrativas mencionadas. O regulamento é baseado nos seguintes valores: 1) regulação baseada em evidências; 2) proporcionalidade entre riscos e recursos alocados; 3) transparência e permeabilidade, que permitam à sociedade não só acompanhar, mas também contribuir para o aprimoramento da atuação da ANPD; 4) processos transparentes e justos; 5) promoção da conformidade pelos mais diversos instrumentos e abordagens.

O objetivo é motivar os regulados a manterem um comportamento adequado, ou seja, em conformidade com as disposições legais acerca do tratamento de dados pessoais, por meio de ações de monitoramento, orientação, prevenção e, também, de punição. Sob a ótica do titular dos dados pessoais, espera-se que cada vez mais se desenvolva a chamada cultura de proteção de dados, pois de nada adianta a lei, com suas devidas regulamentações, se dela o destinatário não sabe fazer uso. Porém, felizmente esse cenário não é uma realidade distante.

Por ser uma lei multidisciplinar em sua essência, a adequação à LGPD demanda das empresas investimentos em tecnologia da informação em conjunto com o acompanhamento jurídico especializado, conjunto de ações que permitirá a devida compreensão do escopo legal, avaliação e adequação dentro das possibilidades e realidade de cada empresa.

Aliás, pergunta-se: quais as vantagens da adequação? A resposta não é limitada ao cumprimento de requisitos legais e mitigação de risco de cominação de pena pecuniária. A adequação empresarial gera oportunidade de reorganização interna da empresa, além da criação de um ambiente de confiança perante os parceiros, fornecedores e clientes, fatores que, somados, culminam na criação de vantagem competitiva para a empresa.

Nesse sentido e sob uma ótica prática e otimista, concluem Saad e Hiunes (2020, p.28):

"(…) A LGPD também dará as empresas mais flexibilidade para sua atuação, permitindo que, além do consentimento, já previsto hoje no MCI [2], outras nove bases legais possam ser usadas para legitimar o tratamento de dados. Além disso, a adequação à LGPD representa valiosa oportunidade de reorganização e alinhamento internos quanto ao tratamento de dados pessoais, além de permitir o fortalecimento da confiança por parte de parceiros e consumidores e a consequente obtenção de relevante potencial competitivo com relação à aqueles que ainda vacilam em abraçar o respeito à privacidade como princípio ínsito às suas atividades cotidianas" (grifos da autora).

Tendo em vista as vantagens apontadas, bem como os valores que permeiam o citado regulamento de riscalização da ANPD, oportuno destacar o disposto no §1º do já mencionado artigo 52 da LGPD, que elenca parâmetros e critérios a serem observados pela autoridade nacional quando da aplicação das sanções administrativas. Vejamos:

"Artigo 52 — Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas nesta Lei, ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional:
(…)
§1º As sanções serão aplicadas após procedimento administrativo que possibilite a oportunidade da ampla defesa, de forma gradativa, isolada ou cumulativa, de acordo com as peculiaridades do caso concreto e considerados os seguintes parâmetros e critérios:
I — a gravidade e a natureza das infrações e dos direitos pessoais afetados;
II — a boa-fé do infrator;
III — a vantagem auferida ou pretendida pelo infrator;
IV — a condição econômica do infrator;
V — a reincidência;
VI — o grau do dano;
VII — a cooperação do infrator;
VIII — a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados, em consonância com o disposto no inciso II do §2º do artigo 48 desta lei;
IX — a adoção de política de boas práticas e governança;
X — a pronta adoção de medidas corretivas; e
XI — a proporcionalidade entre a gravidade da falta e a intensidade da sanção" (grifos da autora).

Denota-se, portanto, que, acaso a empresa adote as medidas necessárias à adequação legal, tanto em sua estrutura de governança quanto em seus sistemas relacionados à tecnologia da informação, ainda que eventual sanção lhe seja aplicada em razão da violação de direitos dos titulares de dados pessoais, certamente será amenizada, levando-se em conta os incisos VIII, IX e X do supratranscrito artigo legal. Também por esse motivo, riscos cibernéticos, relacionados à LGPD já algum tempo é preocupação da gestão de riscos de empresas, que cada vez mais os alocam em suas matrizes de riscos.

Sobre o tema, em pesquisa realizada em meados do ano de 2019 pela Deloitte Brasil, em parceria com o Instituto Brasileiro de Governança Corporativa (IBGC), intitulada "Os Cinco Pilares dos Riscos Empresariais 2019", realizada com a participação de 165 respondentes, confirma a percepção de que o mercado está atento as estruturas de governança corporativa, gestão de riscos e controles como resposta às transformações tecnológicas e regulatórias, e nesse ponto citamos a LGPD, que causaram impacto no ambiente de negócios.

Em relação à implementação da Lei Geral de Proteção de Dados, elaborar e revisar as políticas de privacidade e fortalecer o controle de acesso interno a dados são as inciativas mais adotadas pelos respondentes; ainda assim, menos de 40% realizam cada uma dessas atividades. Ações que envolvem investimentos mais robustos, como adoção de ferramentas e contratação de seguros, ainda são incipientes. Esse é um indicador que de as empresas têm realizado esses investimentos com cautela, procurando compreender melhor o que preconiza a regulamentação e as suas implicações nos negócios (DELOITTE, 2019, p. 32).

Ainda sobre o tópico em análise, conclui-se que:

"Assim, embora os fatores macroeconômicos afetem a relação risco/retorno das empresas, é possível concluir que uma estrutura de governança oferece às organizações uma melhor capacidade de enfrentar tanto os momentos de crise como os de crescimento da economia" (FRAGOSO, Ronaldo, 2019, p. 33).

Dessa forma, é possível afirmar que ante as vantagens da adequação, jurídica e tecnológica, e na iminência da aplicabilidade das sanções pelo não cumprimento da LGPD, não há caminho a não ser o investimento em contratação de profissional advogado especializado na área, que irá mostrar o caminho mais adequado à perfeita adequação empresarial as normais legais constantes da lei em análise, garantindo que, mesmo em caso de acionamento judicial ou administrativo, a empresa tenha as evidências de que tomou as precauções exigidas, e muito mais, irá permitir que as empresas alcancem as vantagens relacionadas à competitividade no mercado e continuidade da operação empresarial mesmo em caso de ocorrência de incidentes.

Por derradeiro, sob uma perspectiva profissional, resta claro que o mercado de trabalho relacionado à proteção de dados está em crescimento e ainda tem muito a se desenvolver, motivo pelo qual nos próximos meses e anos boas oportunidades surgirão para aqueles profissionais que se dedicam ao estudo dessa recente área da ciência jurídica.

Referências bibliográficas 
BRASIL. Autoridade Nacional de Proteção de Dados. Norma de Fiscalização da ANPD. Disponível em: <Governo Federal – Participa + Brasil – Norma de fiscalização da ANPD (www.gov.br)>. Acesso em Acesso em 15 jul 2021.

BRASIL. Lei nº 13.709, de 14 de Agosto de 2018. Lei Geral de Proteção de Dados Pessoais. Disponível em: < L13709compilado (planalto.gov.br)> Acesso em 15 jul 2021.

DELOITTE BRASIL E INSTITUTO BRASILEIRO DE GOVERNANÇA CORPORATIVA (IBCG). Os Cinco Pilares de Riscos Visão abrangente e integrada sobre os principais riscos empresariais 2019. Disponível em: < {2f48c689-0c98-4c24-9636-f154e8252a48}_Cinco-Pilares-Riscos-2019-Deloitte.pdf (en25.com)> Acesso em 20 jul 2021.

Lei Geral de Proteção de Dados (Lei nº 13.709/2018): a caminho da efetividade: contribuições para implementação da LGPD/ obra coletiva; Ricardo Villas Bôas Cueva, Danilo Doneda, Laura Schertel Mendes, coordenadores. – São Paulo: Thomson Reuters Brasil, 2020.

Manual de Compliance/ coordenação André Castro Carvalho, Tiago Cripa Alvim, Rodrigo Bertoccelli, Otávio Venturini. – 2.ed. – Rio de Janeiro: Forense, 2020.

SAAD, Andreia; HIUNES, Antonio. Ela, a LGPD, vista pelas empresas: uma proposta de visão prática – e otimista. In: CUEVA, Ricardo Villas Bôas et al. Lei Geral de Proteção de Dados (Lei nº 13.709/2018): a caminho da efetividade: contribuições para implementação da LGPD. São Paulo: Thomson Reuters Brasil, 2020. p. 17-28.

SOPRANA, Paula. LGPD: Justiça já possui 600 decisões envolvendo a lei. Folha de São Paulo, São Paulo, 04 jul 2021. Disponível em: < Justiça já tem 600 decisões envolvendo lei de proteção de dados – 04/07/2021 – Mercado – Folha (uol.com.br)> Acesso em 15 jul 2021.