A Lei Geral de Proteção de Dados Pessoais - LGPD - Lei nº 13.709 foi promulgada em 14 de agosto de 2018. A Lei indicada teve alguns dispositivos alterados pela Lei nº 13.853 de 2019. Neste artigo objetiva-se discorrer sobre as sanções administrativas na LGPD. Para tanto, será fundamental retomar alguns pontos que já foram abordados de forma mais detalhada em outros artigos publicados no Instituto de Direito Real.
Aspectos introdutórios
Muitas organizações públicas e empresas coletam, armazenam e processam dados de cidadãos, clientes e usuários. Os dados pessoais estão armazenados em locais seguros? Há formas de minimizar a exposição e proteger os dados pessoais, especialmente, os dados pessoais sensíveis?
Frequentemente acontecem diversos casos de violação de dados pessoais e de vazamentos de informações, expondo dados e informações confidenciais dos titulares. Dessa forma, torna-se necessário uma lei que garanta a proteção de dados.
No Brasil foi criada a LGPD. A LGPD se inspira no Regulamento Europeu de Proteção de Dados Pessoais - General Data Protection Regulation - GDPR, que dispõe sobre a proteção de dados pessoais. A LGPD é um desdobramento do marco civil da internet, que se fundamenta em três pilares: neutralidade da rede, liberdade de expressão e privacidade dos dados.
A Lei nº 13.853 de 2019 cria a Autoridade Nacional de Proteção de Dados Pessoais - ANPD, órgão federal responsável por editar e fiscalizar os procedimentos referente à proteção de dados pessoais. Informa-se que a ANPD ainda não foi efetivada na prática.
As organizações precisarão se adequar à LGPD, uma vez que se incorrerem em vazamentos de dados, ainda que de forma acidental estarão sujeitas a diversas penalidades como se verá adiante.
Para tanto, é fundamental que as organizações mapeiem os dados pessoais; identifiquem quais são as portas de entrada e de saída; os locais em que estão armazenados; se existem dados pessoais sensíveis e implementem políticas de segurança da informação e de proteção de dados pessoais.
Princípios e Tratamento de Dados Pessoais
Antes de dispor sobre os princípios e o tratamento de dados pessoais, cabe retomar algumas definições que serão essenciais para compreender a temática tratada. O dado pessoal é a informação relacionada com a pessoa natural identificada ou identificável, nos termos do artigo 5ª. O titular é a pessoa natural a quem se referem os dados pessoais que são objetos de tratamento, de acordo com o artigo 5º, V, da LGPD.
O tratamento de dados pessoais pode ser entendido como toda operação realizada com dados pessoais, como as que se referem à coleta, à produção, à recepção, à classificação, à utilização, ao acesso, à reprodução, à transmissão, à distribuição, ao processamento, ao arquivamento, ao armazenamento, à eliminação, à avaliação ou ao controle da informação, à modificação, à comunicação, à transferência, à difusão ou à extração, nos termos do artigo 5º, X, da LGPD.
Os agentes de tratamento de dados pessoais são o controlador e o operador. O controlador é a pessoal natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais, com base no artigo 5º, VI, da LGPD. O operador está relacionado com a pessoa natural ou jurídica, de direito público ou privado, que efetua o tratamento de dados pessoais.
Há diversos princípios que devem ser respeitados no tratamento de dados pessoais, com o intuito de garantir direitos aos titulares de dados pessoais:
-
Princípio da finalidade - artigo 6º, I;
-
Princípio da adequação - artigo 6º, II;
-
Princípio da necessidade - artigo 6º, III;
-
Princípio do livre acesso - artigo 6º, IV;
-
Princípio da qualidade dos dados - artigo 6º, V;
-
Princípio da transparência - artigo 6º, VI;
-
Princípio da segurança - artigo 6º, VII;
-
Princípio da prevenção - artigo 6º, VIII;
-
Princípio da não discriminação - artigo 6º, IX;
-
Princípio da responsabilização e prestação de contas - artigo 6º, X.
Segundo a Advogada Patrícia Peck Pinheiro (2018) entre os pontos de influência do Regulamento Europeu de Proteção de Dados Pessoais - GDPR na criação da LGPD, têm-se os requisitos para o tratamento de dados pessoais. De acordo com o artigo 5º do GDPR, o tratamento de dados pessoais deve seguir a licitude, a lealdade, a transparência, a finalidade, o limite, a proporcionalidade, a exatidão, a integridade e a confidencialidade.
No GDPR, mais precisamente, no artigo 6º e 7º, indica-se a importância do consentimento para garantir a licitude no tratamento de dados. No artigo 9º aponta-se a transparência das informações do tratamento de dados.
A LGPD indica que o tratamento de dados pessoais deve respeitar a boa-fé, possuir finalidade, limite, prestar contas, garantir a segurança por intermédio de técnicas e medidas de segurança, transparência e possibilidade de consulta aos titulares.
O consentimento é um dos pontos mais importantes da LGPD, encontra-se disciplinado no artigo 8º. Em virtude da vulnerabilidade e da sensibilidade que as informações são adquiridas com desenvolvimento da tecnologia, torna-se necessário o consentimento na coleta de dados, principalmente no ambiente virtual.
Dessa forma, os usuários / titulares devem ter ciência de que seus dados estão sendo coletados, devem ainda saber qual a finalidade da coleta de dados e poder acessar a qualquer momento os dados que foram coletados.
Sanções administrativas na LGPD
Como foi falado, acontecem diversos casos de vazamentos de dados pessoais. As organizações que incorrerem em vazamentos de dados e informações, ainda que de forma acidental, serão punidas. Na LGPD, mais precisamente, no capítulo VIII, do artigo 52 ao 54 da LGPD são previstas sanções administrativas para os agentes de tratamento de dados, em virtude de infrações cometidas às disposições da LGPD:
-
Advertência, com a indicação de prazo para a adoção de medidas corretivas;
-
Multa simples de até 2% do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada a R$ 50.000.000,00 por infração;
-
Multa diária, respeitado o limite do art. 52, II, da LGPD;
-
Publicização da infração após devidamente apurada e confirmada a sua ocorrência;
-
Bloqueio e eliminação dos dados pessoais a que se refere a infração;
-
Suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de seis meses, podendo ser prorrogado por igual período, até a regularização da atividade de tratamento pelo controlador;
-
Suspensão do exercício da atividade de tratamento de dados pessoais a que se refere a infração pelo período máximo de seis meses, podendo ser prorrogado por igual período;
-
Proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
De acordo com § 1º, do artigo 52, da LGPD, as sanções serão aplicadas posteriormente ao processo administrativo, que possibilite a oportunidade de ampla defesa, de maneira gradativa, isolada ou cumulativa, com base nas peculiaridades do caso concreto e considerados alguns parâmetros e critérios, como a gravidade e a natureza da infração e dos direitos pessoais afetados; a boa-fé do infrator; a vantagem auferida ou pretendida pelo infrator; a reincidência, o grau do dano, entre outros.
Outrossim, cabe informar que o disposto no artigo citado não substitui a aplicação de sanções administrativas, civis ou penais delimitadas na Lei nº 8.078 de 1990 - Código de Defesa do Consumidor e em legislação específica.
Com base no § 6º do artigo 52 da LGPD, as penalidades do artigo 52, X, XI e XII, serão aplicadas somente após ter sido imposta pelo menos uma das sanções de que tratam os incisos II, III, IV, V e VI e “em caso de controladores submetidos a outros órgãos e entidades com competências sancionatórias, ouvidos esses órgãos” (artigo 52, §6º, II).
A Autoridade Nacional de Proteção de Dados Pessoais definirá, por intermédio de regulamento próprio a respeito das sanções administrativas a infrações a LGPD, as metodologias que direcionarão o cálculo do valor-base das sanções de multa, com base no artigo 53, da LGPD.
Pode-se dizer que as sanções deverão ser aplicadas de maneira proporcional à infração cometida. O valor da sanção de multa diária, por exemplo, deve observar a gravidade da falta, a extensão do dano ou do prejuízo causado, bem como, ser fundamentado pela autoridade nacional.
Diante do exposto e do cenário atual, percebe-se que a ANPD deve ser criada o mais rápido possível e a LGPD deve entrar em vigor o quanto antes. A Lei nº 14.010 de 10 de junho de 2020 - dispõe sobre o Regime Jurídico Emergencial e Transitório das relações jurídicas de Direito Privado (RJET) no período da pandemia do coronavírus (Covid-19) e acrescentou o inciso I-A ao artigo 65 da LGPD. De acordo com o novo Inciso a Lei entra em vigor no dia 1º de agosto de 2021, quanto aos artigos 52, 53 e 54.
Embora o momento atual seja de incertezas e de frequentes situações de adiamento da entrada em vigor da LGPD, é fundamental que as empresas busquem se adequar à LGPD e respeitem as disposições de proteção de dados pessoais. A LGPD além de visar proteger os direitos fundamentais de liberdade e de privacidade, bem como, o livre desenvolvimento da pessoa natural, é fundamental para garantir a credibilidade dos negócios e da organização.
Referências:
GUIAS DE BOAS PRÁTICAS - Lei Geral de Proteção de Dados (LGPD). Governo Federal. Abril, 2020.
Lei que cria Autoridade Nacional de Proteção de Dados é sancionada com vetos. Senado Notícias. 09 jul. 2019.
Lei nº 13.709 de 2018.
Lei nº 14.010 de 2020.
PINHEIRO, Patrícia Peck. Proteção de dados pessoais: Comentários à Lei nº 13.709 de 2018. São Paulo: Saraiva, 2018.