top of page
Ana Luiza Santos e Edgar Jacobs

As sanções administrativas previstas na LGPD

A LGPD entrou em vigor no dia 18 de setembro de 2020, porém somente em 01º de agosto de 2021, de acordo com o previsto na lei n.14.010, de 10 de junho de 2020, entrarão em vigor os artigos relativos às sanções às transgressões à norma. Elas estão em consonância com o modelo europeu e elencadas nos artigos 52 a 54.

As sanções administrativas serão cabíveis às pessoas físicas e jurídicas que estiverem em desacordo com os preceitos da lei e a aplicação se concretizará por meio das decisões da Autoridade Nacional de Proteção de Dados, órgão federal vinculado ao Poder Executivo Federal.

As sanções poderão variar entre a advertência, a multa simples ou diária e, ainda, a suspensão e a proibição do tratamento de dados pelos infratores, de acordo com os incisos I a XII, do artigo 52 e somente serão aplicadas após procedimento administrativo que possibilite a oportunidade da ampla defesa, de forma gradativa, isolada ou cumulativa, de acordo com as peculiaridades do caso concreto e considerados os parâmetros e critérios definidos na lei.


A gravidade e a natureza das infrações e dos direitos pessoais afetados, a boa-fé do infrator, a vantagem auferida ou pretendida pelo infrator, sua condição econômica, reincidência e grau do dano, por exemplo, serão levadas em conta quando da aplicação da penalidade.


No caso da advertência, será sempre acompanhada da indicação de um prazo para adoção de medidas corretivas. A multa simples, por sua vez, pode ser de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, e limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração e a multa diária observará o limite total a que se refere a multa simples.


Outras podem ser as consequências da aplicação de uma sanção por infração administrativa, como a publicização da infração, o bloqueio dos dados pessoais a que se refere a infração até a sua regularização, a eliminação dos dados pessoais, a suspensão temporária e parcial do funcionamento do banco de dados, a suspensão do exercício da atividade de tratamento dos dados por tempo determinado e, por fim, a proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.


Nesse passo, é importante identificar os sujeitos envolvidos com o tratamento de dados para que seja possível analisar as condutas individualmente caso haja a suspeita de uma infração. Vejamos:


De acordo com a lei, temos quatro sujeitos diferentes que são diretamente vinculados aos dados pessoais:


  • Titular: pessoa física que forneceu os dados a determinada empresa (é o titular dos direitos);

  • Controlador: pessoa física ou jurídica, de direito público ou privado, que detém o poder de decidir sobre como os dados pessoais serão tratados e para quais finalidades eles serão direcionados no processo interno da empresa;

  • Operador: pessoa física ou jurídica, de direito público ou privado, que realiza o tratamento de dados de acordo com as orientações dadas pelo controlador;

  • Encarregado: pessoa física indicada pelo controlador e pelo operador para atuar como elo entre o titular dos dados e a ANPD.

Então, havendo indícios de atos administrativos que ofendam a LGPD, é preciso, inicialmente, que se identifiquem os sujeitos envolvidos naquela infração, diferenciando o agente interno do – quando houver - agente externo. O agente interno é aquele que possui acesso aos dados por serem controladores, operadores ou encarregados. O agente externo, por sua vez, será aquele estranho à relação de tratamento de dados – como, por exemplo, um hacker.


A LGPD, perceba, abrange somente a atuação dos sujeitos internos: a atuação dos agentes externos será tipificada tendo-se em vista o Código Penal Brasileiro e eventuais leis específicas.


A propósito, o disposto na LGPD acerca das sanções não substitui a aplicação de sanções administrativas, civis ou penais definidas na Lei nº 8.078, de 11 de setembro de 1990, e em legislação específica, o que quer dizer que a LGPD prevê condutas sancionatórias apenas em âmbito administrativo, que podem se adequar também a tipos penais determinados por outras leis.

O operador e o controlador de dados podem, portanto, por exemplo, serem indiciados como autores do crime de falsa identidade ou falsa identidade para realização de operação de câmbio. Os servidores públicos, também para oferecer um outro exemplo, podem ser responsabilizados por modificação ou alteração não autorizada de sistema de informações. Todas as sanções previstas na lei geral de proteção de dados podem ser aplicadas às entidades e aos órgãos públicos, sem prejuízo do disposto na Lei nº 8.112, de 11 de dezembro de 1990, na Lei nº 8.429, de 2 de junho de 1992, e na Lei nº 12.527, de 18 de novembro de 2011.


Ao calcular o valor da multa simples, a autoridade nacional poderá considerar o faturamento total da empresa ou grupo de empresas; isso quando não dispuser do valor do faturamento no ramo de atividade empresarial em que ocorreu a infração, definido pela autoridade nacional, ou quando o valor for apresentado de forma incompleta ou não for demonstrado de forma inequívoca e idônea.


O produto da arrecadação das multas aplicadas pela ANPD, inscritas ou não em dívida ativa, será destinado ao Fundo de Defesa de Direitos Difusos de que tratam o art. 13 da Lei nº 7.347, de 24 de julho de 1985, e a Lei nº 9.008, de 21 de março de 1995.


Interessante que a suspensão parcial ou total do funcionamento do banco de dados a que se refere a infração e a proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados só serão aplicadas se já houver sido imposta ao menos uma das penalidades de que tratam os incisos II, III, IV, V e VI do caput do artigo 52 da LGPD para o mesmo caso concreto.


Ou seja: multa, multa diária, publicização da infração, bloqueio dos dados pessoais a que se refere a infração até a sua regularização e a eliminação dos dados pessoais – claramente também a que se refere a infração.


E, em caso de controladores submetidos a outros órgãos e entidades com competências sancionatórias, ouvidos esses órgãos.


Os agentes de tratamento, de toda sorte, devem sempre adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.

Caso existam vazamentos individuais ou acessos não autorizados, podem ser objeto de conciliação direta entre controlador e titular. Não havendo acordo, o controlador estará sujeito à aplicação das penalidades de que trata o artigo 52 da LGPD.

A autoridade nacional - ANPD


A fiscalização e a regulação da LGPD ficarão a cargo da Autoridade Nacional de Proteção de Dados Pessoais (ANPD). A autoridade será um elo entre sociedade e governo, permitindo que as pessoas enviem questionamentos e denúncias ligadas à LGPD para apuração.


A ANPD também terá um importante papel de orientadora e de apoiadora dos órgãos de governo e empresas em relação às situações em que elas podem ou não tratar dados pessoais do cidadão. Além disso fiscalizará, poderá advertir e, somente após essas providências, poderá penalizar se a LGPD continuar sendo descumprida.


É a autoridade nacional quem definirá - por meio de regulamento próprio sobre sanções administrativas - as infrações à lei e esse regulamento deverá ser objeto de consulta pública, bem como as metodologias que orientarão o cálculo do valor-base das sanções de multa.


As metodologias mencionadas deverão ser previamente publicadas para ciência dos agentes de tratamento e devem apresentar objetivamente as formas e dosimetrias para o cálculo do valor-base das sanções de multa. Tudo deve ser detalhado, demonstrando a observância dos critérios da lei.


O regulamento de sanções e metodologias correspondentes também deve estabelecer as circunstâncias e as condições para a adoção de multa simples ou diária, sendo que os valores devem ser proporcionais à gravidade da falta e a extensão do dano ou prejuízo causado e ser fundamentado pela autoridade nacional.


E quando da intimação da sanção de multa diária deverá ser apresentada a descrição da obrigação imposta, o prazo razoável e estipulado pelo órgão para o seu cumprimento e o valor da multa diária a ser aplicada pelo seu descumprimento.


Enfim, os reflexos penais inerentes à LGPD vinculam-se a condutas possivelmente praticadas pelos agentes internos à manipulação e ao tratamento de dados pessoais, mas também se vinculam às demais condutas tipificadas na legislação penal brasileira.


Portanto, não se deve aguardar a vigência das sanções administrativas da lei geral para se adequar totalmente à norma de proteção aos dados.


Se, por ora, ainda não há que se falar em incriminação por práticas ilícitas em razão das atribuições conferidas pela LGPD, inúmeras condutas que podem ser praticadas pelos sujeitos vinculados aos dados pessoais já são tipificadas no Código Penal Brasileiro e em leis específicas, isso sem mencionar os efeitos civis já garantidos ao cidadão, que poderá exigir acesso a dados, portabilidade de informações entre redes sociais e confirmações ou correções de dados, sendo amparado por um órgão regulamentador como o PROCON e, obviamente, pelo Judiciário.



Gostou deste artigo? Faça parte de nossa lista de e-mail para receber regularmente textos como este e notícias de seu interesse.


Fazendo seu cadastro você também pode receber mais informações sobre nossos cursos. No próximo 04 de novembro, de 16h às 18h, teremos o curso EAD sobre a LGPD aplicada às instituições de ensino. Conheça nossa programação e faça sua inscrição!

8.973 visualizações

Comments


bottom of page