RESUMO:
Apesar de já estar vigente desde setembro de 2020, somente em agosto de 2021 a LGPD teve o capítulo destinado às sanções administrativas tornado válido.
A entrada em vigor das sanções administrativas nos traz reflexões sobre a efetividade da lei até agora, bem como sobre o que se espera daqui pra frente.
Palavras Chave: LGPD, sanções administrativas
ABSTRACT:
Although it is in force since September 2020, only in August 2021 the General Data Protection Regulation had its chapter dedicated to administrative penalties valid.
The coming into effect of the administrative penalties brings us some thoughts on the effectivity of the regulation at this point as well as what it is expected from now on.
Keywords: LGPD, administrative penalties
Sancionada em 2018, a Lei nº 13709/2018, a Lei Geral de Proteção de Dados (“LGPD”), entrou finalmente em sua fase de implementação em 1º de agosto de 2021 Assim, as regras que tratam das penalidades a serem aplicadas pela Autoridade Nacional de Proteção de Dados (“ANPD”), entraram em vigor no início deste mês, podendo, portanto, as empresas e órgãos públicos serem punidos com sanções que variam desde uma simples advertência a multas de até R$ 50 milhões.
A fim de melhor elucidar, são aplicáveis as sanções para infrações como o uso de dados sensíveis sem o consentimento do titular, a falta de transparência sobre a forma de tratamento dos dados pessoais, a não comunicação ao titular e à ANPD na hipótese de incidentes envolvendo dados pessoais e o impedimento de acesso dos titulares aos seus dados armazenados.
É importante esclarecer que a ANPD é o órgão responsável pela fiscalização e aplicação da LGPD, mas que ainda está trabalhando na regulamentação do processo administrativo que será utilizado para aplicação das sanções previstas na Lei.
De qualquer forma, espera-se que, inicialmente, a ANPD adote uma postura mais didática do que punitiva, além de voltar seus esforços para as empresas que lidam diretamente com a coleta e manuseio de dados pessoais de clientes e fornecedores, devendo aplicar as multas somente numa segunda etapa da implementação.
Com a entrada em vigor da integralidade do texto legal, vale fazermos uma reflexão dos avanços – e também das dificuldades – da Lei Geral de Proteção de Dados nesse primeiro ano de vigência.
Apesar de ainda não serem aplicáveis as sanções administrativas previstas na lei, desde setembro de 2020, os Tribunais brasileiros já podiam passar a usar a LGPD como fundamento para condenações que envolvessem a violação de direitos ligados a dados pessoais.
Um levantamento divulgado pela Folha de São Paulo em julho desse ano mostrou que entre 18 de setembro de 2020 e 25 de junho de 2021, 598 sentenças foram proferidas com fundamento na LGPD. Dessas ações, os especialistas notaram uma tendência à valorização da base legal do consentimento.
A LGPD prevê 10 bases legais expressas que autorizam o tratamento de dados pessoais pelas empresas e órgãos públicos e o consentimento é apenas uma delas. Por ser aparentemente a mais segura, a que admite menos questionamentos, o consentimento tem sido a de maior destaque nas ações e decisões judiciais.
Temos orientado nossos clientes e parceiros a, sempre que possível, fazer uso de outra base legal para o tratamento de dados pessoais. Isso porque, justamente por ser a aparentemente mais segura, vem sido utilizada muitas vezes de forma indiscriminada, sem observar as exigências da lei de que esse consentimento seja específico, claro e inequívoco, gerando o que se tem conhecido como “fadiga do consentimento”.
Ou seja, por estar sendo utilizado indiscriminada e indevidamente, o consentimento muitas vezes acaba não sendo suficiente para amparar a atividade de tratamento de dados, deixando o controlador exposto, do ponto de vista legal.
Outra tendência observada nessa análise é a de que um vazamento de dados não necessariamente deve ensejar o direito a uma reparação por dano moral, sendo necessário que se comprove que o titular de fato sofreu algum dano em decorrência desse vazamento. Esse tem sido inclusive um pleito de grandes empresas que lidam com tratamento de dados pessoais em seus negócios.
A nosso ver, somente a reparação ao titular dos dados depende de comprovação da existência de dano efetivo, seja por força do artigo 42 da LGPD (“O controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo”), seja pela regra geral prevista no artigo 927 do Código Civil (“Aquele que, por ato ilícito,, causar dano a outrem, fica obrigado a repará-lo”).
Já a aplicação de sanções por parte da ANPD não deve estar sujeita à comprovação do dano, até mesmo porque sua função é também fiscalizatória, ou seja, visa atuar preventivamente para garantir o cumprimento da lei e evitar que danos sejam causados aos titulares.
Em nossa opinião, além do evidente avanço em relação à proteção de dados pessoais e à privacidade dos cidadãos, a LGPD tem favorecido que as empresas adotem novas e melhores práticas no dia a dia de suas atividades, com a revisão de processos como um todo, incluindo novas práticas de compliance e de segurança da informação.
O problema é que como a vigência das penalidades foi prorrogada pra agosto deste ano de 2021, muitas empresas acabaram postergando sua adequação, como se toda a lei ainda não estivesse valendo.
Como costumamos dizer, toda empresa é uma empresa de dados. Isso significa que independentemente do porte, área de atuação ou número de funcionários, toda empresa lida com dados pessoais, nem que sejam os dados das pessoas internas, portanto, já deveria, desde setembro do ano passado, estar tomando as medidas necessárias para adequar-se às determinações da LGPD. Vale frisar que se as empresas forem questionadas a respeito da sua adequação à Lei, será necessário provar que possuem um programa de conformidade adequado às suas atividades, baseado em políticas e regras de boas práticas.
É importante esclarecer que embora as sanções administrativas já estejam valendo, a ANPD só poderá passar a aplicá-las após a aprovação do Regulamento de Fiscalização e de Aplicação de Sanções Administrativas, que vai estabelecer as etapas do processo administrativo sancionador e os direitos dos administrados.
Por fim, as organizações deverão ter ciência de que se adequar à LGPD não é apenas uma questão de cumprimento de legislação, mas também, de melhora de fluxos e estruturas, de evolução de processos, bem como de fortalecimento da relação de confiança com titulares e parceiros de negócios.
Afinal, receber uma multa ou ter uma infração publicizada pode prejudicar seriamente a imagem da empresa, gerando, inclusive, danos reputacionais e perda de negócios e lucros.
Este artigo é de autoria de Ianê Pitrowsky da Rocha e Bianca Menezes Wajnberg, advogadas da FFA LEGAL e direcionado a seus clientes e parceiros.