No último dia 30, foi noticiado um grande vazamento de dados expondo documentos e informações de mais de 220 milhões de brasileiros, mais um evento dentre tantos outros relatados nos últimos meses no Brasil e no mundo. Estes acontecimentos são inerentes ao capitalismo de dados, o novo modelo econômico proporcionado pela revolução tecnológica na qual estamos vivendo, e a Lei Geral de Proteção de Dados Pessoais - LGPD (Lei nº 13.709/2018) propõe frear violações e abusos aos direitos fundamentais dos titulares dos dados como a liberdade, intimidade, privacidade, entre outros.

Tais valores estão em consonância com a defesa dos Direitos Humanos e, consequentemente, com as práticas empresariais ESG – acrônimo em inglês que significa Environmental, Social and Governance (Meio ambiente, Social e Governança)–, hoje tão difundidas, vez que viabilizam a geração de impacto positivo pelas empresas nas áreas sobre as quais têm influência, respeitando e assegurando a não violação desses direitos reconhecidos internacionalmente.

A LGPD entrou em vigor em 2020, todavia os artigos da lei referentes às sanções administrativas passaram a vigorar a partir 1º de agosto deste ano.

As penalidades são aplicáveis pela Autoridade Nacional de Proteção de Dados – ANPD, às pessoas jurídicas de direito público e privado – como empresas, órgãos e entidades públicas e terceiro setor – e às pessoas físicas que utilizam dados pessoais para fins econômicos, e são de natureza administrativa, financeira ou restritiva de atividades como as seguintes:

• advertência, com indicação de prazo para adoção de medidas corretivas;
• multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
• multa diária;
• divulgação da infração após devidamente apurada e confirmada a ocorrência;
• bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
• eliminação dos dados pessoais a que se refere a infração;
• suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;
• suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período;
• proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.

Os órgãos e entidades públicas poderão receber qualquer das penalidades previstas, exceto as pecuniárias, contudo há possibilidade de responsabilização de agentes públicos, nos termos previstos na Estatuto do Servidor Público, na Lei da Improbidade Administrativa e na Lei de Acesso à Informação.

Vale lembrar que as penalidades previstas na LGPD não excluem as sanções administrativas, civis e penais, como as previstas no Código de Defesa do Consumidor (Lei nº 8.078/1990) e em outras leis específicas, ou seja, a violação das normas de proteção de dados pessoais pode repercutir em diferentes áreas jurídicas acarretando a respectiva responsabilização do infrator.

A aplicação das penalidades será precedida de um procedimento administrativo possibilitando a oportunidade de ampla defesa e de interposição de recursos, e considerará diversas circunstâncias, como a gravidade e a natureza das infrações, o grau do dano, a cooperação e a condição econômica do infrator, a adoção de políticas de boas práticas e governança e a pronta adoção de medidas corretivas.

Nesse sentido, encontra-se em fase de conclusão o Regulamento de Fiscalização e Aplicação de Sanções Administrativas elaborado pela ANPD, que trará as formas para o cálculo do valor-base das multas, as etapas do processo administrativo sancionador e os direitos dos administrados. A minuta contempla o monitoramento, orientação, prevenção e repressão de infrações levando em consideração as informações recebidas a partir de reclamações, denúncias, representações e notificações de incidentes para estabelecer prioridades a serem incluídas na agenda de fiscalização.

As penalidades são aplicáveis não só aos casos de vazamento de dados, mas a qualquer descumprimento das obrigações estabelecidas pela LGPD, para os quais está disponibilizado um canal de comunicação de infrações no website da ANPD, e incidirão aos fatos ocorridos após 1º de agosto de 2021 ou aos delitos de natureza continuada iniciados em data anterior.

Uma das obrigações contidas na Lei é a garantia, aos titulares dos dados, de informações simples, claras, precisas e facilmente acessíveis a respeito do uso dos dados e de quais organizações farão uso destes. Para tanto devem ser consideradas as características físico-motoras, perceptivas, sensoriais, intelectuais e mentais dos titulares dos dados, ou seu responsável legal. Desta forma, a Lei revela um olhar equitativo à diversidade, considerando crianças, adolescentes, idosos e pessoas com deficiência.

A adequação à LGPD é imprescindível para a sustentabilidade das organizações públicas e privadas no novo cenário político e econômico da Sociedade da Informação. São muitos os países que dispõem de legislação específica para a proteção de dados pessoais e que impõem às suas organizações, e às quais estas se relacionam, a conformidade para o tratamento de dados de seus cidadãos. Daí a importância de alinharmos as organizações brasileiras às regras da nova era.

Denise Guedes é advogada, formada em Gestão de Riscos, Compliance e LGPD pela FIA e pós-graduanda em Direito Digital e Proteção de Dados pela ESA/OAB. Certificação EXIN-PDPE. Integrante do Grupo de Estudo Empresas e Direitos Humanos na Sociedade da Informação do Mestrado da FMU. Fundadora do IN Movimento Inclusivo.