132 – Semana – As sanções na LGPD a partir de 01 questão problema

Leonardo Gomes de Aquino é articulista do Jornal Estado de Direito e responsável pela Coluna Descortinando o Direito Empresarial.

132 – Semana – As sanções na LGPD a partir de 01 questão problema

Situação problema:

        Antônio tem uma farmácia e costuma ter um arquivo com e-mail, histórico de compras e indicação de plano de saúde de alguns clientes. Tais dados são salvos de forma a melhorar seu negócio e a experiência de cada comprador em sua loja. Ouvindo o rádio no caminho para o trabalho e depois lendo notícias na Internet, Antônio soube de uma nova lei que instituiu determinadas condutas para armazenamento de dados. Com certo receio sobre como poderia ser penalizado caso não cumprisse a norma, Antônio procura um advogado para explicar as principais sanções que poderia sofrer caso não se adequasse ao novo diploma legal. Neste cenário, disserte sobre quais seriam as sanções administrativas aplicáveis àqueles que descumprirem às regras dispostas na LGPD.

        O questionamento colocado refere ao problema de identificação das eventuais sanções em caso de não observância da norma da LGPD. Sendo que a LGPD determina no seu art. 1º que “obre o tratamento de dados pessoais, inclusive nos meios digitais, por pessoa natural ou por pessoa jurídica de direito público ou privado, com o objetivo de proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural.”

        Sendo que o Art. 2º A disciplina da proteção de dados pessoais tem como fundamentos: I – o respeito à privacidade; II – a autodeterminação informativa; III – a liberdade de expressão, de informação, de comunicação e de opinião; IV – a inviolabilidade da intimidade, da honra e da imagem; V – o desenvolvimento econômico e tecnológico e a inovação; VI – a livre iniciativa, a livre concorrência e a defesa do consumidor; e VII – os direitos humanos, o livre desenvolvimento da personalidade, a dignidade e o exercício da cidadania pelas pessoas naturais.

        A LGPD prevê os agentes de tratamento de dados pessoais: tem o controlador, que é a quem compete as decisões relativas ao tratamento; tem o operador, que é quem realiza o tratamento, em nome do controlador. Há ainda o encarregado que, com autonomia e estabilidade, é o responsável por atender as demandas dos titulares, interagir com a autoridade nacional (ANPD) e orientar funcionários e contratados quanto às práticas de proteção de dados pessoais – e ele poderá ou não ser exigido, a depender da natureza ou porte da empresa e do volume de dados tratados por ela.

        Objetivo geral é compreender as respectivas sanções, sendo que os objetivos específicos são: identificar os tipos de sanções e relatar as suas aplicações.

        São sanções: I – advertência, com indicação de prazo para adoção de medidas corretivas; II – multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração; III – multa diária, observado o limite total a que se refere o inciso II; IV – publicização da infração após devidamente apurada e confirmada a sua ocorrência; V – bloqueio dos dados pessoais a que se refere a infração até a sua regularização; VI – eliminação dos dados pessoais a que se refere a infração; VII – suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador; (Incluído pela Lei nº 13.853, de 2019); VIII – suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período; (Incluído pela Lei nº 13.853, de 2019); IX – proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados. 

        Sendo assim, as empresas de modo geral devem implementar sistemas para prevenir, detectar e resolver as violações dos dados pessoais de seus usuários, tais como cibersegurança e compliance, de forma a evitar punições e também para garantir a segurança e confiabilidade da atividade empresarial.

        Inicialmente há aparente vinculação à autoridade administrativa responsável pela aplicação das sanções, mas o Decreto 8771/2016 estipula que no art. 20 e 21 que:

Art. 20. Os órgãos e as entidades da administração pública federal com competências específicas quanto aos assuntos relacionados a este Decreto atuarão de forma colaborativa, consideradas as diretrizes do CGIbr, e deverão zelar pelo cumprimento da legislação brasileira, inclusive quanto à aplicação das sanções cabíveis, mesmo que as atividades sejam realizadas por pessoa jurídica sediada no exterior, nos termos do art. 11 da Lei nº 12.965, de 2014.

Art. 21. A apuração de infrações à Lei nº 12.965, de 2014, e a este Decreto atenderá aos procedimentos internos de cada um dos órgãos fiscalizatórios e poderá ser iniciada de ofício ou mediante requerimento de qualquer interessado. 

        Assim, diante da previsão legislativa e também da previsão legal da CF que o judiciário não pode se eximir de analisar lides levadas a sua jurisdição. A fiscalização e aplicação das penalidades elencadas acima, serão feitas pela Autoridade Nacional de Proteção de Dados (ANPD). 

        As implicações para as empresas que descumprirem a LGPD irão variar conforme a gravidade da situação, podendo ir de advertências até multa equivalente a 2% do faturamento da empresa, limitada ao valor máximo de R$50.000.000,00 (cinquenta milhões de reais).

        Em relação a punição de advertência podemos afirmar que o seu paradigma está no marco civil, em especial no art. 12, I.

        No tocante a aplicação penalidade pecuniária de multa simples trouxe questões importantes, visto o seu caráter patrimonial. O valor de R$50 milhões é ao teto de 2%, proposto, sendo assim, pode ser proposto a multa de 2$, mas desde que obedeça ao limite de R$50 milhões, o que leva a um tratamento privilegiado as grandes empresas, mas para evitar disparidades, a aplicação da multa deverá obedecer entre outros fatores a razoabilidade e proporcionalidade.

        Em relação a multa diária tem relevância de descumprimento de cominação legal ou proferida por autoridade pública, sendo que a multa deverá obedecer às regras proposta para multa simples.

        Em relação a quarta punição, podemos observar que a mesma tem caráter reputacional, visto que o próprio agente de tratamento condenado deverá dar publicidade da condenação, seria uma forma de direito de informação em resposta.

        A punição de eliminação dos dados pessoais refere-se a exclusão definitiva das informações.

        A suspensão parcial do funcionamento do banco de dados e do tratamento de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador refere à situação de prevenção, visto que o fato poderá ficar sobrestado, bloqueado de acesso pelo prazo mencionado

        A proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados refere-se ao fechamento das atividades desenvolvidas pelo agentes condenado, situação que poderá ao sentir um punição eterna na atividade, o que agride diretamente a previsão constitucional, mas de toda forma tal punição é fácil de ser burlada, visto que ao constituir um pessoa jurídica ela adquire personalidade própria distinta dos seus membros e distinta de dotas as demais, logo se um pessoa jurídica for punida desta forma, bastará aos sócios constituir nova pessoa jurídica e iniciar as atividades novamente. 

        Ao sentir as regras legais de punições deverão ser aplicadas de forma proporcional e dentro de uma razoabilidade, devendo sempre ter como padrão as regras constitucionais.

* Leonardo Gomes de Aquino é Articulista do Estado de Direito, responsável pela Coluna “Descortinando o Direito Empresarial” – Mestre em Direito. Pós-Graduado em Direito Empresarial. Pós-graduado em Ciências Jurídico Empresariais. Pós-graduado em Ciências Jurídico Processuais. Especialização em Docência do Ensino Superior. Professor Universitário. Autor do Livro “Direito Empresarial: teoria da Empresa e Direito Societário”.

SEJA  APOIADOR

Valores sugeridos:  | R$ 20,00 | R$ 30,00 | R$ 50,00 | R$ 100,00 |

FORMAS DE PAGAMENTO