Em agosto, as sanções relacionadas ao descumprimento da LGPD passarão a ser aplicadas pela a ANDP, a Autoridade Nacional de Proteção de Dados, órgão federal vinculado ao Poder Executivo.
As sanções poderão variar entre a advertência, a multa simples ou diária e, ainda, a suspensão e a proibição do tratamento de dados pelos infratores, de acordo com os incisos I a XII, do artigo 52 e somente serão aplicadas após procedimento administrativo que possibilite a oportunidade da ampla defesa, de forma gradativa, isolada ou cumulativa, de acordo com as peculiaridades do caso concreto e considerados os parâmetros e critérios definidos na lei.
O que é tratamento de dados?
É a utilização, em qualquer forma, de dados fornecidos por terceiros. A coleta, o armazenamento, o compartilhamento e a manutenção das informações são enquadradas como tratamento e, caso a empresa seja autuada, pode ser proibida de fazer isso.
A gravidade e a natureza das infrações e dos direitos pessoais afetados, a boa-fé do infrator, a vantagem auferida ou pretendida pelo infrator, sua condição econômica, reincidência e grau do dano, por exemplo, serão levadas em conta quando da aplicação da penalidade.
No caso da advertência, será sempre acompanhada da indicação de um prazo para adoção de medidas corretivas. A multa simples, por sua vez, pode ser de até 4% do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, e limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração e a multa diária observará o limite total a que se refere a multa simples.
Outras podem ser as consequências da aplicação de uma sanção por infração administrativa, como a publicização da infração, o bloqueio dos dados pessoais a que se refere a infração até a sua regularização, a eliminação dos dados pessoais, a suspensão temporária e parcial do funcionamento do banco de dados, a suspensão do exercício da atividade de tratamento dos dados por tempo determinado e, por fim, a proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
Nesse passo, é importante identificar os sujeitos envolvidos com o tratamento de dados para que seja possível analisar as condutas individualmente caso haja a suspeita de uma infração. Vejamos:
De acordo com a lei, temos quatro sujeitos diferentes que são diretamente vinculados aos dados pessoais:
- Titular: pessoa física que forneceu os dados a determinada empresa (é o titular dos direitos);
- Controlador: pessoa física ou jurídica, de direito público ou privado, que detém o poder de decidir sobre como os dados pessoais serão tratados e para quais finalidades eles serão direcionados no processo interno da empresa;
- Operador: pessoa física ou jurídica, de direito público ou privado, que realiza o tratamento de dados de acordo com as orientações dadas pelo controlador;
- Encarregado: pessoa física indicada pelo controlador e pelo operador para atuar como elo entre o titular dos dados e a ANPD.
Então, havendo indícios de atos administrativos que ofendam a LGPD, é preciso, inicialmente, que se identifiquem os sujeitos envolvidos naquela infração, diferenciando o agente interno do – quando houver – agente externo. O agente interno é aquele que possui acesso aos dados por serem controladores, operadores ou encarregados. O agente externo, por sua vez, será aquele estranho à relação de tratamento de dados – como, por exemplo, um hacker.
A LGPD, perceba, abrange somente a atuação dos sujeitos internos: a atuação dos agentes externos será tipificada tendo-se em vista o Código Penal Brasileiro e eventuais leis específicas.
A propósito, o disposto na LGPD acerca das sanções não substitui a aplicação de sanções administrativas, civis ou penais definidas na Lei nº 8.078, de 11 de setembro de 1990, e em legislação específica, o que quer dizer que a LGPD prevê condutas sancionatórias apenas em âmbito administrativo, que podem se adequar também a tipos penais determinados por outras leis.
O operador e o controlador de dados podem, portanto, por exemplo, serem indiciados como autores do crime de falsa identidade ou falsa identidade para realização de operação de câmbio. Os servidores públicos, também para oferecer um outro exemplo, podem ser responsabilizados por modificação ou alteração não autorizada de sistema de informações. Todas as sanções previstas na lei geral de proteção de dados podem ser aplicadas às entidades e aos órgãos públicos, sem prejuízo do disposto na Lei nº 8.112, de 11 de dezembro de 1990, na Lei nº 8.429, de 2 de junho de 1992, e na Lei nº 12.527, de 18 de novembro de 2011.
Ao calcular o valor da multa simples, a autoridade nacional poderá considerar o faturamento total da empresa ou grupo de empresas; isso quando não dispuser do valor do faturamento no ramo de atividade empresarial em que ocorreu a infração, definido pela autoridade nacional, ou quando o valor for apresentado de forma incompleta ou não for demonstrado de forma inequívoca e idônea.
O produto da arrecadação das multas aplicadas pela ANPD, inscritas ou não em dívida ativa, será destinado ao Fundo de Defesa de Direitos Difusos de que tratam o art. 13 da Lei nº 7.347, de 24 de julho de 1985, e a Lei nº 9.008, de 21 de março de 1995.
Interessante que a suspensão parcial ou total do funcionamento do banco de dados a que se refere a infração e a proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados só serão aplicadas se já houver sido imposta ao menos uma das penalidades de que tratam os incisos II, III, IV, V e VI do caput do artigo 52 da LGPD para o mesmo caso concreto.
Ou seja: multa, multa diária, publicização da infração, bloqueio dos dados pessoais a que se refere a infração até a sua regularização e a eliminação dos dados pessoais – claramente também a que se refere a infração.
E, em caso de controladores submetidos a outros órgãos e entidades com competências sancionatórias, ouvidos esses órgãos.
Os agentes de tratamento, de toda sorte, devem sempre adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.
Caso existam vazamentos individuais ou acessos não autorizados, podem ser objeto de conciliação direta entre controlador e titular. Não havendo acordo, o controlador estará sujeito à aplicação das penalidades de que trata o artigo 52 da LGPD.