As multas da LGPD começarão a ser aplicadas
Por Maria dos Santos Machetto | 09/02/2023
As multas da LGPD começarão a ser aplicadas
Por Maria dos Santos Machetto | 09/02/2023
A Lei Geral de Proteção de Dados, publicada em 2018, entrou em vigor no dia 18 de setembro de 2020. Entretanto, as sanções previstas no art. 52 só passaram a valer a partir de 01/08/2021.
Apesar disso, nenhuma sanção foi aplicada pela Autoridade Nacional de Proteção de Dados (ANPD) até o momento.
Isto porque, a LGPD estabeleceu em seu art. 53 que, a ANPD precisa estabelecer os critérios e parâmetros para aplicação das sanções de multas, bem como as formas e dosimetrias para o cálculo do valor-base das multas.
Em entrevista concedida ao Jota na última segunda-feira, o diretor-presidente da ANPD, Waldemar Gonçalves Ortunho Júnior, informou que o Regulamento de Dosimetria e Aplicação de Sanções Administrativas, está pronto para publicação e que, as primeiras multas serão aplicadas no primeiro semestre de 2023.
Vale lembrar que além das multas, o art. 52 da LGPD prevê outras sanções administrativas. São elas:
- advertência, com indicação de prazo para adoção de medidas corretivas;
- multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
- multa diária, observado o limite total a que se refere o inciso II;
- publicização da infração após devidamente apurada e confirmada a sua ocorrência;
- bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
- eliminação dos dados pessoais a que se refere a infração;
- suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;
- suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período;
- proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
As sanções serão aplicadas após processo administrativo que possibilite a oportunidade da ampla defesa, e serão considerados os seguintes parâmetros: a gravidade e a natureza das infrações e dos direitos pessoais afetados, a boa-fé do infrator, a vantagem auferida e condição econômica do infrator, a reincidência, o grau do dano, cooperação do infrator, a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, a adoção de política de boas práticas e governança, a pronta adoção de medidas corretivas e a proporcionalidade entre a gravidade da falta e a intensidade da sanção.
Para a elaboração do Regulamento de Dosimetria e Aplicação de Sanções Administrativas, a ANPD realizou todos os passos previstos na lei: tomada de subsídios, audiência pública e consulta pública. Mais de 2.500 sugestões recebidas, foram consideradas para a elaboração da norma.
Segundo o Presidente da ANPD, a norma de dosimetria tem o intuito de evitar injustiças, tendo em vista que vários fatores devem ser considerados, durante a análise de uma infração, como tamanho da empresa, o dano causado aos titulares, etc.
Sobre o fato de que a ANPD não puniu empresas por vazamentos, apesar de tantos casos já ocorridos no Brasil, o Presidente explicou:
“Essa sensação que nós não estamos punindo vem em função da dosimetria. Não posso punir ainda. Em 2022, tivemos 1.043 requerimentos de denúncias e 287 notificações de incidentes. Temos oito processos administrativos. Nesses oito casos, já vimos que houve falha dos órgãos das empresas e haverá alguma consequência. Só estamos esperando a dosimetria para sair alguma sanção. Não sair sanção não quer dizer que é uma inação das autoridades.”
Com relação ao prazo para a dosimetria ser publicada, o Presidente da ANPD informou que, embora não haja data definida, “não passa de fevereiro”. E confirmou ainda que, o órgão já possui oito casos prontos para aplicação de penalidades, e é provável que a primeira multa por infração à LGPD seja aplicada em fevereiro de 2023.
Vale lembrar que, a sanção de multa (de 2% do faturamento, limitada ao valor máximo R$ 50 milhões de reais por infração), pode não ser o maior prejuízo a ser suportado por uma organização, por infração à LGPD.
A sanção de publicização da infração (art. 52, inciso IV), pode acarretar dano reputacional e perda de negócios com parceiros, fornecedores e clientes, que não queiram contratar com empresas que sofreram violações de dados, ou que, na ocorrência de incidentes de dados, não puderem comprovar que atuaram com boa-fé e realizaram todos os esforços razoáveis, para minimizar os danos aos titulares.
Ressalta-se que, além da ANPD, outros órgãos estão prontos para atuar, como Ministérios Públicos, Defensorias estaduais, Procons e Associações. Ademais, o Poder Judiciário pode ser provocado por qualquer titular, que tiver seu direito à proteção de dados violado.
O cidadão “titular de dados” é o centro da LGPD, e os agentes de tratamento/empresas devem adotar todas as medidas necessárias, para garantir segurança e inviolabilidade dos dados pessoais.
É de suma importância que, os agentes de tratamento criem procedimentos e processos, capazes de comprovar que, estão agindo em conformidade com a lei, para evitar sanções administrativas e ações judiciais.
Fontes: Jota e Lei nº 13.709 de 14 de agosto de 2018.
