E, finalmente, as sanções da Lei Geral de Proteção de Dados (LGPD) entraram em vigor. Segundo a própria legislação, essas sanções serão aplicadas pela Agência Nacional de Proteção de Dados (ANPD). Confira a seguir as respostas para algumas das questões que surgem com esse novo momento de Proteção de Dados Pessoais no país.
Quais são as sanções previstas pela Lei Geral de Proteção de Dados?
Em seu artigo 52, a LGPD prevê como as possíveis sanções a serem aplicadas pela ANPD as seguintes:
- advertência, com indicação de prazo para adoção de medidas corretivas;
- multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
- multa diária, observado o limite total a que se refere o inciso II;
- publicização da infração após devidamente apurada e confirmada a sua ocorrência;
- bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
- eliminação dos dados pessoais a que se refere a infração;
- suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;
- suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período;
- proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
As sanções podem ser aplicadas para incidentes ocorridos antes de 1º de agosto de 2021?
A princípio, não. A própria ANPD declarou em seu site que as sanções apenas serão aplicadas a fatos ocorridos após 1º de agosto de 2021 ou para delitos de natureza continuada iniciados antes de tal data.
Quais seriam esses delitos de natureza continuada?
Ainda não há uma certeza, já que ainda não se dispõe de exemplos de aplicação das sanções para esses casos, mas os experts da Opice Blum Academy arriscam algumas opiniões. “Um exemplo seria um aviso de privacidade irregular, publicado antes da vigência das sanções, mas que continua no ar”, afirma Tiago Neves Furtado, instrutor Opice Blum Academy e gestor da equipe de Proteção de Dados do escritório Opice Blum, Bruno e Vainzof Advogados. “Um acesso indevido a uma base de dados pessoais ocorrido antes do dia 1º de agosto de 2021 não estaria passível de sofrer sanções”, completa Rony Vainzof, instrutor Opice Blum Academy e sócio do escritório Opice Blum, Bruno e Vainzof Advogados. “No entanto, uma posterior divulgação desses dados na internet gera um outro evento tipificado, que não se confunde com o anterior, mas que exige novas atitudes da empresa atacada e provavelmente seria alvo de sanções”.
Como será a fiscalização da ANPD?
A agência frisa que, a princípio, atuará com base em “informações recebidas a partir de reclamações, denúncias, representações e notificações de incidentes”. Neste ponto, Marcos Bruno, instrutor Opice Blum Academy e CEO do escritório Opice Blum, Bruno e Vainzof Advogados, aconselha: “As empresas devem montar uma estrutura para dar vazão as demandas dos titulares. A LGPD e as normas de fiscalização deixam bem claro que uma ‘reclamação’ será considerada aquela apresentada pelo titular ao controlador e que não fora solucionada como deveria. Aqueles que conseguirem atender às demandas dos titulares, demonstrando diligência, certamente se manterão à margem de uma eventual sanção pela ANPD”.
Como será a interação entre a Agência Nacional de Proteção de Dados e outros órgãos governamentais?
A ANPD deixa claro que será o único órgão governamental que poderá aplicar as sanções previstas na LGPD. No entanto, ela também explicita que suas atividades não anulam a efetividade de outros códigos que também podem se aplicar a fatos sob sua tutela, como o Código de Defesa do Consumidor (CDC). “A eventual atuação de outros órgãos públicos, como agências reguladoras ou órgãos de defesa do consumidor, deve se dar segundo as suas próprias competências, ao abrigo de suas legislações específicas.” A agência já anunciou que firmou acordos de cooperação técnica com a Secretaria Nacional do Consumidor (SENACON) e com o Conselho Administrativo de Defesa Econômica (CADE). “A tendência é que esses acordos contribuam para que seja feita apenas uma apuração e se aplique eventualmente apenas uma penalidade por fato”, afirma Ricardo Maffeis, instrutor Opice Blum Academy e advogado sênior da Opice Blum, Bruno e Vainzof Advogados. “Assim, casos correlatos provavelmente não serão alvo de processos administrativos ou sanções concorrentes de várias agências.”
A plena vigência da legislação inaugura um capítulo que, acreditam os especialistas, promete ser muito benéfico para a cultura de Proteção de Dados no Brasil. “É muito importante lembrar que não há como se alcançar 100% de conformidade”, avisa Renato Opice Blum, chairman do escritório Opice Blum, Brune e Vainzof Advogados. “A tecnologia e o comportamento são dinâmicos, então os ajustes serão perpétuos. Quanto maior a presença de interatividade tecnológica, maior a necessidade de ajustes. No entanto, segundo pesquisas recentes, uma porcentagem maior de empresas brasileiras está alinhada com a LGPD hoje do que empresas europeias estavam de acordo com o GDPR quando ele entrou em vigor”, comemora.
