LGPD: o que muda a partir de agosto de 2021?

Aprovada pelo Congresso em 2018, a nossa Lei Geral de Proteção de dados entra este mês na sua fase final de implementação. Desde o dia 1º de agosto, passaram a vigorar os artigos da lei que tratam das sações administrativas aplicáveis pela Autoridade Nacional de Proteção de Dados. Mas “não esperem a ANPD bater na porta com um bloco de multas”,  fez questão de pontuar o presidente da autoridade. Até porque, isso não seria possível nesse momento. “A caixa de ferramentas sancionatórias que a ANPD tem ao seu dispor precisa de um manual de instrução. Uma definição das formas de uso dessas ferramentas”, explica Carlos Affonso, diretor do ITS-Rio. E parte dessas definições está atrasada.

Até o momento, a ANPD não publicou o Regulamento de Fiscalização e Aplicação de Sanções Administrativas, que orientará a aplicação das punições previstas na LGPD, considerando parâmetros para dossimetria, preentes na própria lei, como a gravidade e naureza da infração, a boa fé do infrator, a vantagem auferida no tratamento dos dados, a condição econômica do agente de tratamento (seja ele controlador ou operador), reincidência, o grau do dano e a cooperação do infrator.

De modo a conferir segurança jurídica aos administrados, a ANPD iniciará sua atuação sancionadora após a aprovação do Regulamento de Fiscalização e de Aplicação de Sanções Administrativas, ainda em consulta pública, que estabelece as etapas do processo administrativo sancionador e os direitos dos administrados, esclarece a própria autoridade, em uma espécie de guia sobre essa nova etapa, publicado no dia 30 de julho.

CADASTRE-SE GRÁTIS PARA ACESSAR 5 CONTEÚDOS MENSAIS

Já recebe a newsletter? Ative seu acesso

Ao cadastrar-se você declara que está de acordo
com nossos Termos de Uso e Privacidade.

Cadastrar

Quer dizer então que ninguém será multado nos próximos dias? Sim. “Mas as advertências já estão valendo”, explica a diretora da ANPD, Miriam Wimmer.

Além disso, a impossibilidade de a ANPD multar agora não significa que usuários que se sintam desrespeitados por determinado tratamento de dados não possam, dependendo do caso, recorrer à Justiça em busca de reparação. Além disso outros órgãos podem atuar na defesa dos direitos dos titulares de dados. A LGPD não substitui a aplicação de sanções administrativas, civis ou penais definidas no Código de Defesa do Consumidor e outras legislações específicas, por exemplo.

Há direitos dos titulares dos dados (nós) que podem ser judicializados através de ações individuais e coletivas, que já estão acontecendo.

• Um levantamento da empresa Juit, especializada no uso de ferramentas automatizadas para fazer varreduras em tribunais, encontrou 600 sentenças judiciais referentes ao uso indevido de dados pessoais.
• Outro levantamento, realizado pelo escritório de advocacia LBCA, encontrou 660 ações propostas por consumidores só no primeiro semestre deste ano, a maioria delas solicitando indenização por vazamentos de dados.  Todas fundamentadas na LGPD.
• Já pesquisa do escritório Opice Blum em apenas seis tribunais identificou 162 decisões judiciais no mês de junho , 99 delas citando a LGPD e 63 envolvendo a LGPD. Os temas mais comuns? Bom, 43 tratavam de Segurança/Incidentes; 8 de direito à exclusão de dados; 7 eram relacionadas à base Legal e à finalidade; e 6 ao direito ao acesso/confirmação de dados. Nove decisões determinaram indenizações pecuniárias, com valor médio de R$ 2,86 mil. E uma empresa foi condenada ao pagamento de uma indenização de R$ 10 mil por um vazamento de segurança, mesmo sem a identificação dos dados vazados e de dano efetivo (prejuízo) ao titular (d0no) dos dados pessoais.

Tanto o Ministério Público quanto os órgãos e entidades de defesa do consumidor, como os Procons, podem buscar o cumprimento e a aplicação da lei. “Alguns exemplos dessa atuação incluem o ajuizamento de uma Ação Civil Pública, por parte do Ministério Público, contra empresa que comercializava dados pessoais na internet e, mais recentemente, a aplicação de multa de mais de meio milhão de reais, pelo Procon do Mato Grosso, a rede de farmácias que tratava dados de seus clientes de forma indevida”, diz Débora Vieira, da Colares Advogados.

“É similar ao que já ocorre, por exemplo, com os danos ambientais: posso ser lesado e buscar uma indenização individual, o MP pode responsabilizar criminalmente, o órgão ambiental aplicar multas administrativas, como o IBAMA, e, ainda o MP ajuizar ação coletiva de reparação pelos danos difusos”, explica Newton Moraes, professor de Direito e assessor do MP/RS.

Na prática, os agentes de tratamento de dados (a sua empresa, por exemplo) estão sujeitos a duas forças, que vêm de ambientes regulatórios diferentes, segundo a juíza aposentada especialista em Direito Digital, expert em Proteção de Dados, Viviane Nóbrega Maldonado. De um lado está a ANPD, exclusivamente responsável pela aplicação das sanções administrativas descritas na LGPD. E, do mesmo lado dela, existem outras autoridades, como os Procons e a Secretaria Nacional do Consumidor (Senacon), do Ministério da Justiça, que também têm a capacidade de impor sanções administrativas, desde que previstas em leis específicas que toquem a proteção de dados, como o Código de Defesa do Consumidor. Do outro lado, estão os titularess dos dados (cada um de nós, cidadãos), que além de reclamarem seus direitos à ANPD podem também recorrer à Justiça.

“Portanto, cuidado ao ouvir a palavra multa a partir de agora, porque pode significar muitas coisas diferentes”,  alerta Viviane. “Normalmente as pesssoas misturam as coisas. Em uma ação judicial de danos morais por vazamento de dados, por exemplo, caso o juiz entenda que houve o dano e o que o autor da ação merece uma compensação, ele vai condenar o agente de tratamento ao pagamento de uma indenização, não de uma multa. Mas essse mesmo juiz pode determinar  uma multa diária caso os direitos do titular não sejam atendidos pelo controlador no prazo estipulado pela sentença. A multa nesse casso, é um mecanismo para forçar o cumprimento de uma decisão judicial”, explica, ressaltando que as multas punitivas previstas na LGPD só a ANPD pode aplicar.

As sanções administrativas da LGPD

A LGPD previu um rol variado de sanções administrativas, de natureza admoestativa (advertência e publicização), pecuniária (multa) e restritiva de atividades (bloqueio, suspensão e proibição da atividade de tratamento). São elas:

• Advertência, com indicação de prazo para adoção de medidas corretivas;
• Multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
• Multa diária, observado o limite total a que se refere o inciso II;
• Publicização da infração após devidamente apurada e confirmada a sua ocorrência;
• Bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
• Eliminação dos dados pessoais a que se refere a infração;
• Suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;
• Suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período;
• Proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.

De modo geral, a multa, por conta dos valores envolvidos, costuma gerar muita preocupação e chamar atenção da mídia. Mas, dependendo do caso, a suspensão e a proibição parcial ou total do tratamento de dados podem ser  punições mais rigorosas e prejudiciais para as empresas. Doerem mais no bolso.

Importante:  geralmente se opta por penas mais brandas no início, para privilegiar o caráter educativo da punição e a possibilitar o agravamento das sanções em casos de reincidências. Mas isso vai muito da cabeça do regulador. E de seus objetivos. Dependendo do tipo de infração, e da gravidade das consequências, a autoridade pode optar por aplicar direto multas bem pesadas. Com exceção das penalidades de restrição de tratamento, como a suspensão e a proibição. Essas só podem ser imputadas após ao menos 1 (uma) das sanções admoestativas ou pecuniárias terem sido aplicadas.

Segundo a proposta de regulamento submetida à consulta pública (portanto, ainda sujeita a alterações), a ANPD pretende adotar uma abordagem responsiva, gradual, baseada no comportamento do agente de tratamento e na priorização de temas segundo seu risco, gravidade, atualidade e relevância. O regulamento prevê etapas de monitoramento, orientação, prevenção e repressão de infrações, levando em consideração as informações recebidas a partir de reclamações, denúncias, representações e notificações de incidentes para estabelecer prioridades a serem incluídas na agenda de fiscalização.

O cálculo das multas considerará os parâmetros estabelecidos pela LGPD, em seu artigo 52, já mencionados no início deste artigo. E a metodologia para o cálculo ainda será submetida à consulta pública. Vale ressaltar também que a própria lei especifica que a multas não são imputáveis aos órgãos e entidades públicas.

Também com o intuito de harmonizar ações com outross órgãos fiscalizatórios e com poder para imputar sanções com baes em leis epecíficas, afetas ao tema de proteção de dados pessoais, a ANPD está assinando uma série de acordos de cooperação técnica. Foi assim com a Secretaria Nacional do Consumidor – Senacon e com o Conselho Administrativo de Defesa Econômica – CADE . A intençõ é permitir o desenvolvimento de atividades conjuntas em temas que gerem repercussões nas áreas de atuação dos órgãos envolvidos. Já há, inclusive, casos concretos sob análise da Autoridade que envolvem a atuação cooperativa com esses órgãos e com o Ministério Público.

Reinvindicações dos agentes de tratamento

Na segunda-feira, 2 de agosto, mais de 50 entidades empresariais que formavam a Frente Empresarial em Defesa da LGPD e da Segurança Jurídica (Frente LGPD) anunciaram a sua transformação no Fórum Empresarial da LGPD, focado na defesa da segurança jurídica na aplicação da lei.

Segurança Jurídica e agenda regulatória com foco na regulação responsiva, no estímulo à autorregulação e conciliação, e exigência de intervenção mínima na imposição de condicionantes administrativas, têm sido uma consensual entre todas as entidades e prioridade Fórum, que já conta com 4 grupos de trabalhos (GTs): Segurança Jurídica, propriamente dita; Pequenas, Médias Empresas e Startups; Legislativo e Transferência Internacional de Dados.

Na live que marcou o lançamento da entidade ficou bem claro a grande preocupação do setor empresarial em torno da aplicação da LGPD para as pequenas e médias empresas, bem como para as startups, muitas delas intensivas no tratamento de dados pessoais.

Outro tema de grande relevância que está no radar das entidades é a questão da transferência internacional de dados. Quase todas as organizações do país transferem dados pessoais para o exterior diariamente por meio de e-mails, softwares e aplicações de smartphones. “É muito relevante que o tema seja regulamentado para que tanto organizações pequenas quanto grandes, locais ou multinacionais, tenham segurança jurídica para seguir operando e serem competitivas”, relata Ana Paula Bialer, representante da Brasscom e líder do GT Transferência Internacional.

Em um manifesto dirigido à ANPD, o Fórum informa que o setor privado tem acompanhado com grande atenção as ações proativas adotadas pela autoridade para a busca de uma harmonização do ambiente normativo em torno da proteção da privacidade e dos dados pessoais no país. E enxerga como positivos os acordos de cooperação técnica com a Senacon e o CADE e os esforços junto ao MPF e ao GSI.  Mas pontua que seria muito importante ter acordos semelhantes também com outros reguladores setoriais, como a Anatel, o Banco Central, o CFM, o MEC, e a Susep entre outros. E a realização de amplas campanhas educativas junto à população brasileira e ao Poder Judiciário, principalmente sobre direitos dos titulares de dados (nós) e seus limites.

O que se espera é que a ANPD tenha uma atuação fiscalizatória que promova um ambiente regulatório de mais conformidade por meio de medidas de orientação, conscientização e educação de boas práticas de proteção de dados. As sanções devem ser o último recurso para evitar a ocorrência de atos ilícitos ou de puni-los à altura do dano provocado. O momento ainda é de instruir, não de punir.

Judicialização

O brasileiro já esta acostumado a se valer do Judiciário. Tavez por isso temos visto muita judicialização da LGPD antes de orientar o cidadão, antes de ele fazer denúncias à autoridade.

Há um temor de aumento da judicialização usando como fundamentação a LGPD, a medida que cidadãos se tornem mais conscientes do seus direitos e descontentes  ou frustrados com a ação da ANPD em relação a medidas corretivas como exclusão de dados, suspensão da atividade de tratamento e outras, que beneficiem diretamente o titular, ou até mesmo a imposição de multas aos agentes de tratamento, como chegou a contecer na Europa, com o GDPR.

Em três anos de de vigência do regulamento europeu quase 150 multas foram emitidas pelos vários reguladores, por infração das disposições do GDPR, segundo elvantamento CMS Law-Now.

Como algumas das grandes multas recentes baseadas no GDPR apontam, o gerenciamento de riscos de terceiros vem se tornando um problema recorrente. Empresas estão sendo multadas por compartilhar dados com seus fornecedores, mas também estão sendo responsabilizadas e multadas por violações em seus fornecedores.

O que falta para que as sanções da LGPD saiam do papel?

Ninguém sabe ao certo, nem a ANPD. A autoridade já tem equipe formada para monitorar o cumprimento da LGPD, receber denúncias e aplicar as sanções. Mas ainda precisa regulamentar alguns pontos da lei. No início do ano, por meio da Portaria nº 11, de 27 de janeiro de 2021, a autoridade divulgou sua Agenda Regulatória para o biênio 2021-2022. O documento contém 10 (dez) projetos prioritários com o respectivo instrumento a ser utilizado para materializar a regulamentação dos temas.

Além dissso, há a expectativa de que, nas próximas semanas, o Regulamento de Fiscalização e Aplicação de Sanções Administrativas possa ser remetido ao Conselho Diretor da ANPD para deliberação. Até a regulamentação das sanções, é razoável esperar que a ANPD não foque esforços na punição das empresas, mas sim que continue na linha que tem adotado de orientar e disseminar conhecimentossobre privacidade e proteção de dados.

Em resumo

Ninguém deve esperar por um cenário apocalíptico, de imediato, com um grande número de empresas recebendo severas multas da ANPD. Mas ninguém deve achar que a ANPD não tem dentes afiados, nem que os direitos previstos na LGPD para os titulares de dados – ou os deveres impostos aos agentes de tratamento – não possam ser usados para fudamenter a atuação de outros órgãos.

Portanto, tenha em mente alguns pontos fundamentais:

1. A LGPD já está em vigor há quase 1 ano. Portanto, os direitos e as obrigações nela previstos já estavam valendo.
2. Outras formas de sanção podem ser (e já têm sido) aplicadas.
3. As sanções administrativas previstas pela LGPD só a ANPD pode aplicar, e elas variam de acordo com a gravidade e a natureza da violação. A ANPD ainda está regulamentando a aplicação. Mas, como bem ressalta Débora Vieira, o hype motivado pela entrada em vigor das sanções administrativas pode promover uma maior cobrança às empresas para que demonstrem conformidade com a LGPD e a judicialização de conflitos por titulares de dados que não sintam que sua privacidade está sendo respeitada.

• Proteção e Dados
• LGPD
• ANPD
• legislação