O advento da Sociedade de Informação e o crescente uso das tecnologias trouxeram mudanças para a vida dos indivíduos e o cotidiano das organizações. As Tecnologias de Informação e Comunicação - TIC modificaram as formas de relacionamento, possibilitando conversas, compras, entre outras atividades a distância, com o uso de plataformas digitais e de aplicativos. Com isso, aumentam-se a coleta e o armazenamento de informações e de dados, principalmente, nos meios digitais.
Percebe-se que as transformações indicadas apesar de facilitarem a vida, têm proporcionado a exposição indesejada e têm violado a privacidade e a intimidade dos indivíduos. São crescentes os casos de vazamentos de dados por empresas e por organizações públicas. A preocupação com a proteção de dados é mundial. Há quem diga que os dados são o recurso mais valioso no século XXI.
Nessa linha, tem-se a elaboração de leis sobre a proteção de dados em diversos países do mundo. A Lei Geral de Proteção de Dados - LGPD foi sancionada em 14 de agosto de 2018 e inspirada no Regulamento Geral de Proteção de Dados - GDPR, que abrange os países da União Europeia.
A LGPD teve alguns dispositivos alterados pela Lei nº 13.853 de 08 de julho de 2019. Salienta-se que a referida lei prevê punições para quem descumprir as disposições da LGPD. A Resolução nº 4 de 14 de abril de 2020 disponibilizou o Guia para Boas Práticas para Implementação LGPD na Administração Pública.
Neste artigo objetiva-se discorrer sobre as sanções indicadas na LGPD e a forma como é calculada a multa da Lei nº 13.709 de 2018.
Proteção de Dados Pessoais
Antes de adentrar na exposição referente às sanções previstas na LGPD e no cálculo da multa, faz-se necessário retomar alguns pontos. A LGPD estabelece critérios para o tratamento de dados pessoais, com o intuito de proteger os direitos fundamentais de liberdade e de privacidade, assim como, assegurar o livre desenvolvimento da personalidade da pessoa natural.
O tratamento de dados pessoais se refere a qualquer atividade realizada com os dados pessoais, como a coleta, a produção, a classificação, o processamento, o arquivamento, o armazenamento, entre outros, nos termos do artigo 5º, X, da LGPD. O controlador e o operador são agentes de tratamento de dados pessoais. O operador realiza o tratamento de dados pessoais em nome do controlador.
Pode-se dizer que os agentes indicados devem adotar medidas de segurança técnica e administrativa, com o objetivo de proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, de perda, de alteração, de adulteração ou qualquer forma de tratamento ilícito ou inadequado. Tais medidas devem ser observadas desde a fase de concepção do produto ou do serviço até a execução.
A Autoridade Nacional de Proteção de Dados - ANPD é tida como o órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento da LGPD em todo território nacional. Ressalta-se que a ANPD tem um importante papel na efetividade da LGPD, contudo, a autoridade indicada ainda não foi instituída.
Entre as atribuições elencadas pela LGPD à autoridade nacional, cabe indicar que a competência para editar regulamentos e procedimentos sobre a proteção de dados e a privacidade, para fiscalizar e aplicar sanções nos casos de tratamento de dados realizados em descumprimento à legislação, bem como, para realizar auditorias ou determinar a realização de auditorias no âmbito da atividade de fiscalização.
Conforme indicado no artigo 46, § 1º, da LGPD a Autoridade pode dispor de padrões técnicos mínimos para garantir a segurança e o sigilo de dados, considerando a natureza das informações, as características do tratamento e o estado da tecnologia, principalmente, no que se refere aos dados pessoas sensíveis.
Nos casos em que o controlador verificar a ocorrência de incidente de segurança que possa ocasionar risco ou dano relevante aos titulares, deverá comunicar a Autoridade Nacional e ao titular. Ressalta-se que a comunicação deverá ser feita em prazo razoável, de acordo com a definição da Autoridade nacional, e deve mencionar a descrição da natureza dos dados pessoais afetados, as informações sobre os titulares envolvidos, a indicação das medidas técnicas utilizadas para proteger os dados, os riscos relacionados ao incidente, o motivo da demora entre outros.
Sanções e fiscalização: forma de cálculo da multa
Cabe informar que os agentes de tratamento de dados, em virtude das infrações cometidas as normas da LGPD, ficarão sujeitos a sanções administrativas aplicáveis pela Autoridade Nacional, dispostas no artigo 52, da Lei nº 13.709 de 2018:
-
Advertência, com a indicação de prazo para adotar medidas corretivas - artigo 52, I, da LGPD;
-
A multa simples de até 2% do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, com a exclusão dos tributos, limitada, no total, a R$ 50.000.000,00 por infração - artigo 52, II, da LGPD;
-
A multa diária, observado o limite de R$ 50.000.000,00 - artigo 52, III, da LGPD;
-
A publicização da infração após a apuração de forma devida e a confirmada a ocorrência da infração - artigo 52, IV, da LGPD;
-
O bloqueio de dados pessoais a que se refere a infração até a sua regularização - artigo 52, V, da LGPD;
-
A suspensão parcial do funcionamento do banco de dados a que se refere à infração pelo período máximo de 6 meses, prorrogável por igual período, até que seja regularizada a atividade de tratamento pelo controlador - artigo 52, X, da LGPD;
-
A suspensão do exercício da atividade de tratamento de dados pessoais referente à infração pelo período máximo de 6 meses, prorrogável por igual período - artigo 52, XI, da LGPD;
-
A proibição parcial ou total de atividades relacionadas ao tratamento de dados - artigo 52, XII, da LGPD.
A aplicação das sanções ocorrerá posteriormente ao procedimento administrativo que possibilite a oportunidade da ampla defesa, de forma gradativa ou isolada, com base nas peculiaridades do caso concreto e considerando a gravidade da infração, o grau do dano, a reincidência, a cooperação do infrator entre outros critérios elencados no artigo 52, § 1º, da LGPD.
Conforme indicado no § 4º, do artigo 52, da LGPD, no cálculo do valor da multa simples, a autoridade nacional poderá considerar o faturamento total da empresa ou grupo de empresas, quando não dispuser do valor do faturamento no ramo de atividade empresarial, em que aconteceu a infração, definido pela autoridade nacional, ou nos casos em que o valor for apresentado de forma incompleta ou não for demonstrado de forma idônea e inequívoca.
Com relação ao produto da arrecadação das multas aplicadas pela ANPD, inscritas ou não em dívida ativa, cabe informar que será destinado ao Fundo de Defesa de Direitos Difusos de que tratam o artigo 13, da Lei nº 7.347 de 1985 e Lei nº 9.008 de 1995.
Salienta-se que as sanções indicadas no artigo 52, caput, incisos X, XI e XII serão aplicadas apenas após já ter sido imposta ao menos uma das sanções de que tratam os incisos II, III, IV, V e VI do caput do artigo 52 para o mesmo caso concreto e nos casos de controladores submetidos a outros órgãos e entidades com competências sancionatórias, ouvidos esses órgãos.
Outrossim, o valor da sanção de multa diária aplicável às infrações a LGPD deve observar a gravidade da falta e a extensão do dano ou do prejuízo causado e ser fundamentado pela ANPD. A aplicação das sanções deve respeitar o princípio da proporcionalidade.
Com base no artigo 53, § 1º e § 2º, da LGPD, a ANPD definirá por intermédio de regulamento próprio as metodologias que orientarão o cálculo do valor-base das sanções de multa. A metodologia citada deve ser previamente publicada, para ciência dos agentes de tratamento e deve apresentar de maneira objetiva as formas e as dosimetrias para o cálculo do valor-base das sanções de multa que deverão conter de forma detalhada todos os elementos, comprovando a observância de critérios previstos na LGPD. Além disso, o regulamento de sanções e metodologias deve estabelecer circunstâncias e condições para que seja adotada a multa simples ou diária.
Percebe-se que cabe à ANPD a análise do caso e a aplicação das medidas de sanção. Conforme indicado, a ANPD ainda não foi instituída, assim, de acordo com a Advogada Patrícia Peck Pinheiro (2020) a aplicação do artigo 53, § 1º e § 2º, da LGPD está pendente da constituição da ANPD, ainda que a vigilância e a fiscalização da lei possam ser realizadas pelo Ministério Público até que a ANPD seja constituída.
A LGPD foi prorrogada?
Conforme já informado em outros artigos não é novidade que desde a promulgação da LGPD surgiram inúmeros projetos de lei com o intuito de prorrogar a entrada em vigor da lei indicada. O cenário é de incertezas quanto a entrada em vigor da Lei de Proteção de Dados Pessoais.
A Lei nº 14.010 de 10 de junho de 2020 adiou para 01 de agosto de 2021 a aplicação das sanções previstas nos artigos 52, 53 e 54 da LGPD.
Como é sabido, em 29 de abril de 2020 foi editada a Medida Provisória nº 959 com o intuito de prorrogar a entrada em vigor da LGPD para 03 de maio de 2021. As Medidas Provisórias possuem validade de 60 dias, podendo ser prorrogadas por igual período, se dentro do primeiro prazo, não houver a votação da Medida Provisória pelo Congresso Nacional.
Na data de 26 de junho de 2020, o presidente do Senado e da mesa do Congresso Nacional, o Senador Davi Alcolumbre, editou o Ato nº 71 de 2020, prorrogando por mais 60 dias a Medida Provisória nº 959 que adia a entrada em vigor da LGPD.
Não se sabe se a Medida Provisória será aprovada, rejeitada ou se irá caducar, dessa forma, ainda não se pode afirmar qual a data da entrada em vigor da LGPD. Apesar da imprevisibilidade do cenário atual, as empresas devem buscar se adequar o quanto antes às disposições da LGPD.
Referências:
Ato do Presidente da Mesa do Congresso Nacional nº 71 de 2020. Congresso Nacional, 26 de junho de 2020.
Lei nº 13.709 de 2018.
Lei nº 13.853 de 2019.
Lei nº 14.010 de 10 de junho de 2020.
MP nº 959 de 2020.
PINHEIRO, Patrícia Peck. Proteção de Dados Pessoais: Comentários à Lei nº 13.709 de 2018. 2 ed. São Paulo: Saraiva Educação, 2020.
