Opinião

A aplicação de sanções administrativas pelo descumprimento da LGPD

Autores

30 de setembro de 2021, 16h33

Há pouco mais de um mês, em 1º de agosto, entraram em vigor os artigos 52, 53 e 54 da Lei Geral de Proteção de Dados (LGPD), referentes às sanções administrativas, reaquecendo os debates acerca das possíveis penalidades administrativas aplicáveis às companhias que porventura cometam abusos ou apresentem falhas de segurança no tratamento de dados pessoais coletados.

Após essa data, a Autoridade Nacional de Proteção de Dados (ANPD) poderá aplicar sanções, após procedimento administrativo que possibilite a ampla defesa. Nesse particular, a LGPD prevê um rol variado de sanções administrativas, de natureza admoestativa, pecuniária e restritiva de atividades, que podem variar desde a mera advertência; multas ou até mesmo a proibição parcial ou total do exercício de atividades relacionadas ao tratamento de dados pessoais.

É importante destacar que a ANPD é o órgão responsável por assegurar a correta observância da LGPD no Brasil e, nessa medida, garantir a devida proteção aos direitos fundamentais de liberdade, privacidade e livre desenvolvimento da personalidade dos indivíduos, mediante a fiscalização e aplicação de sanções em caso de tratamento de dados realizado em descumprimento à legislação.

Não obstante, considerando ser relativamente recente o início da vigência dos artigos da LGPD que tratam de medidas sancionadoras, ainda não há exemplos práticos das penalidades aplicáveis no âmbito do país. Isso porque, conforme afirmou o presidente da ANPD, Waldemar Ortunho Junior, num primeiro momento a ANPD dará prioridade ao diálogo com os agentes de processamento de dados, no intuito de promover a cultura da privacidade e a adoção de melhores práticas.

Torna-se de extrema relevância, portanto, o estudo de casos internacionais, com a finalidade de estabelecer exemplos e parâmetros comparativos nos quais as empresas brasileiras possam se basear e, dessa forma, prever minimamente sanções que poderão advir de processos administrativos fiscalizadores conduzidos pela ANPD.

Ressalta-se que a LGPD sofreu grande influência do Regulamento Geral de Proteção de Dados (RGPD ou GDPR), que disciplina a matéria na União Europeia. Em que pese as significativas diferenças de redação entre ambas as normas, limitaremos a presente análise aos casos de violações e respectivas sanções da RGPD, registrando, sempre que houver, as distinções entre a legislação europeia e a LGPD.

Destaca-se que o RGPD determina sanções severas àqueles que cometem violações ao seu texto, levando-se em conta ainda que a infração dolosa, a omissão de medidas para mitigar os danos ocorridos ou a falta de colaboração com as autoridades podem aumentar as penalidades. Assim, nos termos do artigo 83 (5) do RGPD, para violações especialmente graves, o valor da multa pode alcançar 20 milhões de euros, ou, no caso de uma empresa, até 4% do seu faturamento global total do exercício anterior, o que for maior.

Recentemente, a Comissão Nacional de Proteção de Dados de Luxemburgo (CNPD) penalizou a Amazon Europe Core S.A (Amazon) por ter infringido regras do RGPD, aplicando-lhe multa no valor de 746 milhões de euros, o que equivale a aproximadamente 4% do lucro líquido da Amazon em 2020. O processo tramita em sigilo e a Amazon informou que recorreria da decisão por entender que não houve qualquer exposição de dados de clientes.

Essa multa ultrapassa o recorde anterior de violação do GDPR de 50 milhões de euros contra a Google LLC (Google), aplicada pela Comissão Nacional de Informática e Liberdades (CNIL), órgão fiscalizador de proteção de dados da França, em janeiro de 2019, em consequência da prática de acessar dados pessoais de usuários para fins de propaganda, sem obter o consentimento específico e inequívoco dos mesmos. As cortes superiores francesas rejeitaram a apelação da Google em junho de 2020, concluindo que a companhia não forneceu informações suficientemente claras aos usuários e, consequentemente, não obteve o consentimento legal para uso de seus dados para anúncios segmentados.

Ressaltamos que as sanções impostas pelo GDPR exigem a avaliação caso a caso das circunstâncias da infração por parte dos tribunais, observando fatores como a gravidade e a duração da infração, os atos intencionais ou negligentes, medidas de mitigação de danos que tenham sido implementadas, medidas técnicas e organizacionais e, por fim, o modo como a autoridade supervisora tomou conhecimento dos eventos alegadamente infrativos. Sendo assim, o grau de sancionamento pecuniário está diretamente vinculado aos aspectos fáticos relativos à violação apurada.

Há quem diga que os parâmetros utilizados pelos diversos reguladores para cálculos das multas do GDPR possuem grande divergência entre si, considerando-se que não houve fixação de parâmetros mínimos ou máximos, mas tão somente critérios discricionários para a fixação do valor da multa com alto nível de discricionariedade, causando insegurança jurídica e levantando dúvidas sobre a aplicação das sanções pecuniárias no âmbito da GDPR.

No Brasil, a LGPD também prevê, em seu artigo 52, a imposição de multa, limitada em até 2% do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado, baseado no seu último exercício, excluídos os tributos, estando o valor máximo restrito a R$ 50 milhões por infração.

Nota-se que a cominação pecuniária brasileira possui teto que corresponde a menos da metade da multa estipulada pelo regulamento europeu, o que releva a intenção do legislador em não onerar demasiado o gestor de dados nacional.

De modo geral, com fulcro no artigo 52, a aplicação de sanções previstas no mesmo artigo requer criteriosa apreciação e ponderação das circunstâncias fáticas, entre as quais cita-se a gravidade e a natureza das infrações e dos direitos pessoais afetados, a boa-fé, vantagem auferida e condição econômica do infrator, o grau do dano, a cooperação do infrator, a adoção de política de boas práticas e governança e a pronta adoção de medidas corretivas.

Buscando conferir maior segurança jurídica aos administrados, estabelece ainda o artigo 53 que a ANPD deve publicar um regulamento próprio para aplicação das sanções administrativas impostas pela LGPD, determinando as metodologias para orientação do cálculo do valor-base das sanções de multa, nos termos do artigo 53. Tais metodologias devem ser previamente publicadas e devem apresentar objetivamente as formas e dosimetrias para o cálculo do valor-base, que deverão conter fundamentação detalhada de todos os seus elementos, demonstrando a observância dos critérios previstos na referida lei.

Contudo, o Regulamento de Fiscalização e Aplicação de Sanções Administrativas, objeto de consulta pública entre 28 de maio e 28 de junho deste ano, e que se encontra em fase de conclusão, sequer menciona a dosimetria e os método para cálculo das sanções pecuniárias, que deverão ser objeto de norma específica sujeita ao mesmo procedimento de consulta pública.

Por essa razão, as sanções pecuniárias aplicadas antes da regulamentação específica sobre o tema podem vir a ter a sua validade questionada, em decorrência do requisito expresso de publicação dos parâmetros para cálculo da multa advindo do artigo 53.

Inobstante, é de suma importância que as companhias se adequem o quanto antes à LGPD, não somente para evitar as sanções administrativas, como também em face da possibilidade de responsabilização civil e criminal dos infratores.

Assim, enquanto aguardamos a regulamentação pela ANPD, casos de violação à LGPD vem ganhando manchetes e a lei vem sendo objeto de ações judiciais movidas por titulares de dados pessoais.

Por outro lado, as autoridades europeias fiscalizadoras do GDPR, embora se utilizem de seus novos poderes de forma efetiva para punição dos infratores quando necessário, diferentemente do que se previa, têm adotado uma abordagem equilibrada, buscando priorizar o diálogo em relação à aplicação de punições, em particular aos entes que não tem o processamento de dados como atividade principal.

Isso porque o sucesso do RGPD não será medido pela quantidade de multas e outras sanções aplicadas, mas pela mudança cultural e comportamental implementadas socialmente. Nesse sentido, é possível notar que o papel das autoridades de proteção de dados vai muito além do seu papel punitivo, possuindo também a missão e o desafio de provocar o engajamento das partes interessadas, garantindo a plena implementação e aplicação das normas previstas.

Da mesma maneira, se espera que a ANPD priorize o engajamento construtivo, o diálogo e a mútua cooperação, em detrimento do ensinamento com base na aplicação de sanções administrativas.

Portanto, é essencial que a ANPD trabalhe para conscientizar as companhias e a sociedade em geral, não somente da importância da proteção de dados pessoais, como também dando suporte aos negócios na economia digital, possibilitando o encontro de soluções para o futuro.

Autores

Tags:

Encontrou um erro? Avise nossa equipe!