Por Daniela Froener e Layon Lopes*
Como é sabido, a Lei Geral de Proteção de Dados (LGPD) é lei que tem como objetivo regular o tratamento de dados pessoais no Brasil, estipulando, para tanto, diversas regras. Já a Autoridade Nacional de Proteção de Dados (ANPD) é órgão federal que, instituído pela LGPD, tem por objetivo regular o cumprimento desta, podendo implementar, para tanto, regulamentos com procedimentos para viabilizar o cumprimento das regras prevista na LGPD.
Porém, de nada adianta haver regras e procedimentos definidos, bem como uma autoridade nacional para supervisionar o cumprimento da legislação, se não houverem sanções aos infratores. Assim, a LGPD, além de regular o tratamento de dados pessoais, também determinou sanções para aqueles que descumprirem as suas disposições.
Desta forma, a referida legislação determinou aos agentes de tratamento de dados, em razão das infrações cometidas às normas previstas na LGPD, a sujeição às seguintes sanções administrativas a serem aplicáveis pela ANPD.
Antes de analisarmos as sanções, esclarece-se que, nos termos da LGPD, entende-se por agentes de tratamento de dados: os controladores e os operadores; sendo o controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais; e, o operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.
Agora, vejamos as nove sanções previstas na LGPD:
1) advertência, com indicação de prazo para adoção de medidas corretivas;
2) multa simples, de até 2% do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 por infração;
3) multa diária, observado o limite total de R$ 50.000.000,00 por infração, devendo o valor da sanção de multa diária aplicável às infrações observar a gravidade da falta e a extensão do dano ou prejuízo causado e ser fundamentado pela ANPD.
4) publicização da infração após devidamente apurada e confirmada a sua ocorrência;
5) bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
6) eliminação dos dados pessoais a que se refere a infração;
7) suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de seis meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;
8) suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de seis meses, prorrogável por igual período;
9) proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
As sanções dispostas nos itens 7, 8 e 9, somente podem ser aplicadas após já ter sido imposta ao menos uma das sanções previstas nos itens 2, 3, 4, 5 e 6.
Ademais, somente serão aplicadas sanções após a realização de procedimento administrativo que possibilite a ampla defesa do acusado. Bem como, as penalidades serão impostas de forma gradativa, isolada ou cumulativa, de acordo com as peculiaridades do caso concreto, de acordo com os seguintes parâmetros e critérios:
1) a gravidade e a natureza das infrações e dos direitos pessoais afetados;
2) a boa-fé do infrator;
3) a vantagem auferida ou pretendida pelo infrator;
4) a condição econômica do infrator;
5) a reincidência;
6) o grau do dano;
7) a cooperação do infrator;
8) a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados;
9) a adoção de política de boas práticas e governança;
10) a pronta adoção de medidas corretivas; e
11) a proporcionalidade entre a gravidade da falta e a intensidade da sanção.
A exceção quanto a instauração de processo administrativo, pela ANPD, para apuração de infrações e aplicação de sanções acontecerá quando o controlador sofrer com vazamentos individuais ou acessos não autorizados. Nestes casos, o controlador poderá realizar acordo com o titular dos dados, sendo que, somente com a não realização do acordo, é que o controlador estará sujeito à aplicação das penalidades previstas na LGPD.
Por fim, vale frisar que as sanções previstas na LGPD, e aplicadas pela ANPD, não excluem ou substituem possíveis condenações do infrator na esfera cível, penal e/ou consumerista.
Dúvidas? A equipe do Silva | Lopes Advogados pode te ajudar!
*Lopes é CEO do Silva | Lopes Advogados e Froener é COO do escritório.
