A Lei de Proteção de Dados Pessoais (LGPD) entrou em vigor em setembro de 2020, contudo, as suas sanções administrativas só começaram a ser aplicadas agora, em agosto, sobretudo, em razão do contexto socioeconômico estabelecido pelos desdobramentos da pandemia de Covid-19.
Nesse sentido, é importante saber que a Autoridade Nacional de Proteção de Dados (ANPD) é o órgão responsável pelas fiscalizações necessárias relativas ao cumprimento da lei e pela eventual aplicação das sanções aos agentes de tratamento, que podem ser qualquer site ou empresa que realiza a coleta de dados.
Dentro desse panorama, tanto empresas quanto órgãos públicos poderiam ser atingidos por essas sanções caso o tratamento de dados físicos ou digitais não esteja em conformidade com a lei.
Nesse sentido, caso haja comprovação de violação à LGPD na análise das petições dos titulares de dados, a Secretaria-Geral de Fiscalização da ANPD está incumbida de iniciar o processo administrativo de apuração.
Apesar da Resolução de Fiscalização da ANPD, que estabelecerá como as sanções serão aplicadas, ainda estar sujeita a modificações por conta das contribuições recebidas durante o período de consulta pública, já podemos tirar algumas conclusões a respeito de como se realizará o procedimento de aplicação de sanções.
A resolução traz quatro categorias de requerimentos de fiscalização à ANPD: reclamação, que é a comunicação do titular de dados sobre questão apresentada ao controlador de dados e não resolvida; denúncia, caracterizada pela comunicação por qualquer pessoa, natural ou jurídica, de infração à LGPD, que não seja reclamação; representação, resumida na comunicação de autoridades públicas sobre fatos potencialmente infratores da legislação de proteção de dados; e requerimento, que é a denominação dada ao conjunto dos tipos de comunicação à Autoridade[1].
Com base nesses requerimentos, a ANPD pretende realizar uma abordagem responsiva, ou seja, ela promoverá uma fiscalização gradual, seguindo a priorização de temas conforme risco, gravidade, atualidade e relevância.
Assim, a “agenda de ciclo de monitoramento” trazida pela Resolução, que é o método de organização da fiscalização pela ANPD, se dará conforme as prioridades estabelecidas ao analisar as informações recebidas através dos requerimentos.
Por isso, a Resolução estabelece em seu art. 18 um relatório de análise de ciclo de monitoramento e um mapa de temas prioritários como instrumentos de monitoramento para guiar a atuação da Autoridade.
Já está em funcionamento, inclusive, o canal de atendimento ao cidadão e titular de dados no site do Governo Federal, que tem por finalidade recolher as reclamações dos titulares sobre o descumprimento das normas da LGPD. O relatório de análise de ciclo de monitoramento e o mapa de temas prioritários mencionados anteriormente nortearão a atuação da ANPD, de fiscalização orientadora, preventiva e sancionadora.
O processo de fiscalização, portanto, não se dará somente em resposta aos requerimentos, também haverá a adoção de processos de monitoramento, orientação e atuação preventiva, podendo iniciar o procedimento repressivo.
Durante a ação fiscalizatória, a ANPD pode atuar tanto movida por requerimentos, quanto em decorrência do programa periódico de fiscalização. Existe, também, a possibilidade de atuação em cooperação com órgãos e entidades da administração pública responsáveis pela regulação de setores específicos da atividade econômica e governamental que dialogam com a proteção de dados, ou com autoridades de proteção de dados de outros países, sendo estas internacionais ou transnacionais.
Ademais, será realizada a atuação informacional, direcionada a disseminar o conhecimento a respeito das boas práticas de proteção de dados, sem prejuízo da aplicação de sanções quando verificada infração.
No que se trata da aplicação de sanções, a Resolução dispõe que o processo administrativo sancionador, passível de consulta pública, comporta quatro fases. A primeira é a instauração, que pode ser realizada pela ANPD, em decorrência de um processo de monitoramento descrito ou diante de requerimento (se a Coordenação-Geral de Fiscalização considerar necessário após a análise de admissibilidade do requerimento).
A segunda fase, de instrução, se inicia com a expedição de intimação ao agente de tratamento para que ele apresente sua defesa em até dez dias, cabendo a ele o ônus de prova. Em seguida, a Coordenação Geral de Fiscalização profere a decisão de primeira instância, compondo a terceira fase.
E, por último, há, ainda, a possibilidade de recurso administrativo ao Conselho Diretor, instância administrativa máxima, também no prazo máximo de dez dias. Se assim decidido, após o processo, poderão ser aplicadas multas, conforme as disposições da LGPD.
O não cumprimento das determinações estabelecidas pela LGPD pode resultar em sanções administrativas diversas, dentre elas estão advertência, multa simples, multa diária, publicização da infração, bloqueio dos dados pessoais e eliminação dos dados pessoais.
As multas simples são calculadas em cima do faturamento, sendo limitada a 2% do faturamento da pessoa jurídica e a 50 milhões de reais por infração e a multa diária também é limitada a este mesmo montante por infração.
Se uma das sanções já tiver sido aplicada, é possível que novas sejam desbloqueadas – como a suspensão parcial do funcionamento do banco de dados e a suspensão do exercício da atividade de tratamento dos dados pessoais relativos à infração, assim como a proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados como um todo.
Hoje, apesar da possibilidade das sanções já começarem a ser aplicadas, ainda há uma lacuna a ser preenchida pela ANPD: orientar previamente qual será o método de cálculo do valor-base das multas, bem como as condições de aplicação ou da multa simples ou da multa diária.
A publicação do Regulamento de Fiscalização e de Aplicação de Sanções Administrativas é pré-requisito para a aplicação de multas pela ANPD, conforme o art. 53, § 1º da LGPD. Contudo, quando a publicação do Regulamento ocorrer, este poderá retroagir para todas as infrações cometidas a partir do dia 1º de agosto de 2021, ou para delitos de natureza continuada iniciados antes de tal data, estando a LGPD já em vigor.[2]
Apesar disso, órgãos como o Procon já aplicaram multas em função das infrações somadas às denúncias dos consumidores, como foi o caso de uma rede de farmácias em Mato Grosso[3], multada sob a justificativa de ter obtido irregularmente a autorização dos consumidores para o tratar seus dados pessoais.
Essa constatação veio com uma série de fiscalizações que foram realizadas em diversas unidades desta rede em Cuiabá. Apesar disso, uma pesquisa do Procon-SP[4] que teve a participação de 7.408 pessoas revelou que 30% dos que responderam a pesquisa tiveram seus dados expostos em vazamentos.
Indo além das sanções já previstas, diversas denúncias já têm sido feitas junto às Defensorias Públicas, aos Ministérios Públicos e aos órgãos de defesa ao consumidor com o intuito de ajuizar condenações indenizatórias.
Em menos de um ano, a LGPD foi a base legal de quase 600 sentenças judiciais[5] envolvendo o uso inapropriado de dados pessoais tanto de ex-funcionários quanto de consumidores em geral. Isso porque, ao solicitarem seus direitos como, por exemplo, a exclusão total dos dados, as empresas não têm atendido às solicitações dos titulares de dados, seja por negligência, seja por falta de ferramentas que possam auxiliar os setores jurídicos e de tecnologia.
Sabendo que, apesar de a ANPD não ter publicado o regulamento que aborde as dosimetrias para o cálculo das multas, é urgente que as empresas procurem boas ferramentas de gestão de consentimento e de comunicação com o titular de dados para a efetivação de seus direitos dentro do prazo de 15 dias estabelecido pela lei[6].
Isso porque, além da aplicação dessas sanções já descritas, o não cumprimento dos direitos dos titulares pode acabar acarretando em perdas de oportunidade de negócios. Isso porque é observável uma grande tendência de os consumidores estarem mais bem informados acerca de seus direitos e da necessidade de ter seus dados mais protegidos, haja vista, por exemplo, o aumento de reclamações no Reclame Aqui que envolvem a LGPD.
Além disso, é de extrema importância, também, que os agentes de tratamento tenham registrado as provas de atendimento e resposta a esses direitos e os relatórios das solicitações para estarem munidos em eventuais litígios. Assim, será possível evitar as possíveis onerosidades advindas das sanções pecuniárias ou, até mesmo, o impedimento do tratamento de dados nas companhias.
[1] BRASIL. Minuta, de maio de 2021. Resolução de Fiscalização. Brasília, DF: Autoridade Nacional de Proteção de Dados (Anpd), Versão para Consulta Pública. Disponível em: <https://www.gov.br/anpd/pt-br/assuntos/noticias/anpd-abre-consulta-publica-sobre-norma-de-fiscalizacao/2021.05.29___Minuta_de_Resolucao_de_fiscalizacao_para_consultapblica.pdf>. Acesso em: 12 de agosto de 2021.
[2] BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Disponível em: <http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm>. Acesso em: 07 de agosto de 2021.
[3] Drogasil é multada em mais de meio milhão de reais por tratar e usar dados de clientes de forma irregular. Olhar Direito. Disponível em: <https://www.olhardireto.com.br/noticias/exibir.asp?id=490202¬icia=drogasil-e-multada-em-mais-de-meio-milhao-de-reais-por-tratar-e-usar-dados-de-clientes-de-forma-irregular&edicao=3>. Acesso em: 13 de agosto de 2021.
[4] Pesquisa sobre proteção de dados e a LGPD. Procon-SP. Disponível em: <https://www.procon.sp.gov.br/pesquisa-sobre-protecao-de-dados-e-a-lgpd/>. Acesso em: 13 de agosto de 2021.
[5] Justiça já tem 600 decisões envolvendo lei de proteção de dados. Folha de São Paulo. Disponível em: <https://www1.folha.uol.com.br/mercado/2021/07/justica-ja-tem-600-decisoes-envolvendo-lei-de-protecao-de-dados.shtml>. Acesso em: 13 de agosto de 2021.
[6] Por quê a Dados Legais? Dados Legais. Disponível em: <https://dadoslegais.com/>. Acesso em: 13 de agosto de 2021.