O que esperar das primeiras multas da LGPD aplicadas pela ANPD
Autores
17 de agosto de 2022, 13h02
No dia 1º de agosto de 2021 entraram em vigor as sanções administrativas da Lei nº 13.709/2018 — Lei Geral de Proteção de Dados Pessoais (LGPD), dentre as quais estão englobadas: 1) advertência; 2) multa; 3) publicização da infração; 4) bloqueio dos dados pessoais; 5) eliminação dos dados pessoais; 6) suspensão parcial do funcionamento do banco de dados; 7) suspensão do exercício da atividade de tratamento dos dados pessoais e 8) proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
Ocorre que, passado um ano da vigência das sanções, ainda não foi aplicada nenhuma multa em pecúnia, isso porque a Autoridade Nacional de Proteção de Dados (ANPD) "definirá, por meio de regulamento próprio sobre sanções administrativas a infrações a esta Lei, que deverá ser objeto de consulta pública, as metodologias que orientarão o cálculo do valor-base das sanções de multa" (artigo 53, LGPD).
Como ainda não houve a publicação de uma portaria com a metodologia de cálculo de multas, elas ainda não foram aplicadas. Segundo o portal Poder 360 "a norma deve ser submetida a consulta pública até agosto. A expectativa é que seja publicada no final de setembro, com as penalidades aplicadas a partir de outubro" [1]. Dessa forma, a previsão é de que as multas comecem a ser aplicadas ainda este ano, e, com isso, questiona-se: o que esperar das primeiras multas da ANPD?
Inicialmente, é importante destacar que, apesar de ainda não terem sido publicadas objetivamente as formas e dosimetrias para o cálculo do valor-base das sanções de multa, as penalidades terão efeito retroativo e as empresas poderão ser multadas por situações ocorridas desde 01 de agosto de 2021, data do início da vigência das sanções. Logo, possivelmente as primeiras sanções em pecúnia da ANPD serão referentes a eventos já ocorridos e que estão sob investigação.
Para projetar o que pode acontecer no Brasil, é interessante fazer um comparativo com as primeiras multas decorrentes da aplicação do Regulamento Geral de Proteção de Dados da União Europeia (GDPR). Em 2018, em Portugal, um Centro Hospitalar foi multado em cerca 400 mil euros por ter violado três artigos da GDPR. A referida multa foi perdoada em 2021, devido à pandemia.
Na Alemanha, a primeira multa sob o GDPR foi imposta a uma empresa de mídia social por força das obrigações de segurança de dados, no valor de 20 mil euros em razão de um ataque hacker em que foram roubados dados de 330 mil usuários do serviço de bate-papo alemão. É importante mencionar que no cálculo da penalidade "é considerado o número de pessoas impactadas, a natureza da infração, ações de mitigação, medidas preventivas, cooperação com a autoridade supervisora, registro de transgressão e notificação do aplicador de proteção de dados" [2].
No GDPR, os critérios para decidir sobre o valor de uma multa administrativa estão elencados no artigo 83 da referida lei e englobam os seguintes aspectos: 1) a natureza e o tamanho do mal cumprimento; 2) que precauções a empresa teve para limitar o risco; 3) se a empresa notificou as pessoas afetadas sobre suas infrações; 4) o tipo de dados pessoais que foram atingidos; 5) o histórico da empresa no que diz respeito a questões de privacidade de dados; 5) o nível de conformidade da empresa com a sua DPA durante o período de remediação; 6) como a empresa respondeu aos avisos da GDPR; 7) a intenção em relação ao mau uso de dados, e se houve negligência e 8) quanta mitigação existe para limitar os danos causados aos sujeitos dos dados [3].
No cenário do GPDR, as multas por violações menos graves aplicam-se majoritariamente a violações de natureza processual ou técnica, podendo resultar em multas de até dez milhões ou 2% do faturamento anual da empresa no ano fiscal anterior, o que for maior. Quanto as violações mais graves, costumam estar atreladas a questões como a violações a princípios de proteção de dados, base legal para processamento, negação de direitos dos titulares e outros. Nesses casos a multa pode chegar a 20 milhões de euros ou até 4% do faturamento global total do ano fiscal anterior, o que for maior [4].
Além disso, destaque-se que a metodologia para cálculo das multas do GDPR foi o tema de guia recente do European Data Protection Board (EDPB). Dentre as considerações feitas no guia, cabe destacar a de que as Autoridades Supervisoras podem considerar que certas infrações podem ser punidas com multa de valor pré-determinado e fixo. Nessas situações, fica a critério da Autoridade definir quais infrações se qualificam como tal, tendo sempre o cuidado de não entrar em conflito com o disposto no GDPR [5].
No que concerne a ANPD, levando em consideração as similitudes existentes entre a LGPD e a GDPR, espera-se que a Autoridade Brasileira siga em grande parte o regulamentado na GDPR.
Considerando também que já se passou um ano da vigência das sanções e que a ANPD vem atuando de forma educativa e visando conscientizar a população sobre os direitos dos titulares, chegou o momento de colocar em prática as multas em pecúnia e fazer com que as empresas passem a se preocupar ainda mais com a conformidade com a LGPD, sob o risco de a ANPD pôr em xeque sua própria função.
[1] CARREGOSA, Lais. Multas por infração à LGPD devem ser aplicadas a partir de outubro. Poder 360, 2022. Disponível em: <https://www.poder360.com.br/economia/multas-por-infracao-a-lgpd-devem-ser-aplicadas-a-partir-de-outubro/> Acesso em: 29 jul. 2022.
[2] ILASCU, Ionut. First GDPR Sanction in Germany Fines Flirty Chat Platform EUR 20,000. BleepingComputer, 2018. Disponível em: <https://www-bleepingcomputer-com.translate.goog/news/security/first-gdpr-sanction-in-germany-fines-flirty-chat-platform-eur-20-000/?_x_tr_sl=en&_x_tr_tl=pt&_x_tr_hl=pt-BR&_x_tr_pto=sc> Acesso em: 01 ago. 20222.
[3] Visitor Analytics. Quais são as Penalidades pelo Não-Cumprimento do GDPR? Disponível em: <https://www.visitor-analytics.io/pt/blog/quais-sao-as-penalidades-para-o-nao-cumprimento-do-gdpr/> Acesso em: 01 ago. 2022.
[4] Data Privacy Manager. How are GDPR fines defined and calculated. 2021. Disponível em: <https://dataprivacymanager.net/how-to-calculate-gdpr-fines-general-data-protection-regulation-criteria-for-fines/> Acesso em: 05 ago. 2022.
[5] EDPB. Guidelines O4/2022 on the calculation of administrative fines under the GDPR. Version 1.0, adopted on 12 May 2022. Disponível em: <https://edpb.europa.eu/system/files/2022-05/edpb_guidelines_042022_calculationofadministrativefines_en.pdf> Acesso em: 06 ago. 2022.
Encontrou um erro? Avise nossa equipe!