No próximo dia 1º de agosto, finalmente entrarão em vigor os artigos 52 a 54 da Lei Geral de Proteção de Dados Pessoais (LGPD), que dispõem sobre as sanções administrativas que poderão ser aplicadas pela Autoridade Nacional de Proteção de Dados no exercício de suas funções fiscalizatórias.

Antes de mais nada, vale ressalvar que, embora tenha se criado enorme expectativa em torno da entrada em vigor dessas sanções, a verdade é que, nos termos do artigo 52, § 2º, da LGPD, controladores e operadores já estavam sujeitos a punição pelo descumprimento das regras atinentes ao tratamento de dados pessoais - vigentes desde 18 de setembro de 2020 -, com base em penalidades previstas na legislação extravagante, em especial no Código de Defesa do Consumidor, mediante instauração de processos administrativos ou ajuizamento de ações judiciais, individuais ou coletivas, por iniciativa de outros órgãos, como Ministério Público, PROCON, Defensoria Pública e associações, ou de particulares.

Por outro lado, imagina-se que, à semelhança do que se verificou por ocasião da entrada em vigor da General Data Protection Regulation (GDPR), a lei de proteção de dados da Comunidade Europeia, em um primeiro momento a ANPD exercerá um papel preponderantemente didático, mais orientando do que punindo e, quando muito, aplicando a pena mais branda, de advertência, com a indicação de prazo para adoção de medidas corretivas.

Falando especificamente nas sanções, a LGPD prevê nada menos do que oito diferentes modalidades de punição: (i) advertência; (ii) multa simples ou diária de até 2% do faturamento da empresa, seu grupo ou conglomerado no Brasil no último exercício, excluídos os tributos, limitada, no total, a R$50 milhões por infração; (iii) publicização da infração; (iv) bloqueio dos dados pessoais a que se refere a infração até a sua regularização; (v) eliminação dos dados pessoais a que se refere a infração; (vi) suspensão parcial do funcionamento do banco de dados a que se refere a infração por até um ano; (vii) suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração por até um ano; e (viii) proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.

As últimas três penalidades listadas acima somente poderão ser aplicadas após já ter sido imposta ao menos uma das sanções anteriores para a mesma infração ou em caso de controladores submetidos a outros órgãos e entidades com competências sancionatórias.

Sem prejuízo da ressalva anterior, as penalidades serão aplicadas de forma gradativa, isolada ou cumulativamente, conforme as peculiaridades do caso, atendendo aos seguintes critérios: (i) gravidade e natureza das infrações e dos direitos pessoais afetados; (ii) boa-fé do infrator; (iii) vantagem auferida ou pretendida pelo infrator; (iv) condição econômica do infrator; (v) reincidência; (vi) grau do dano; (vii) cooperação do infrator; (viii) adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados; (ix) adoção de política de boas práticas e governança; (x) pronta adoção de medidas corretivas; e (xi) proporcionalidade entre a gravidade da falta e a intensidade da sanção.

No texto original, parcialmente vetado pelo então presidente da República Michel Temer, havia ainda a previsão de aplicação das penas de (i) suspensão parcial ou total do funcionamento do banco de dados a que se refere a infração por até um ano; (ii) suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração por até um ano; e (iii) proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados. Essas sanções foram eliminadas sob a justificativa de que poderiam gerar insegurança aos agentes responsáveis pelas informações, bem como impossibilitar a utilização e tratamento de bancos de dados essenciais a diversas atividades, a exemplo das aproveitadas pelas instituições financeiras, dentre outras, podendo acarretar prejuízo à estabilidade do sistema financeiro nacional.

Dentre as sanções, a que tem gerado maior preocupação é a multa pecuniária, cujo teto, além de bastante elevado - R$50 milhões -, foi fixado com a ressalva de que a limitação vale "por infração". A ANPD ainda não editou regulamento sobre as metodologias que orientarão o cálculo do valor-base das penas de multa, mas, nos termos do artigo 53 da LGPD, essas metodologias deverão apresentar objetivamente as formas e dosimetrias de cálculo, bem como fundamentação detalhada de todos os seus elementos e as condições para adoção da multa simples ou diária, estando sujeitas a consulta pública e prévia publicação para ciência inequívoca dos agentes de tratamento.

Embora, de fato, a multa pecuniária chame a atenção, há outras sanções que, a depender do tamanho do banco de dados e do ramo de atividade do agente de tratamento, podem se mostrar ainda mais prejudiciais, como é o caso da proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados, que, cada vez mais, se revelam estratégicas e fundamentais para o modelo de negócio de diversas empresas.

Outrossim, em se tratando de vazamentos de dados individuais ou de acessos não autorizados, vale destacar que o controlador poderá se compor diretamente com o titular, de modo a evitar a aplicação de sanções administrativas pela ANPD.

Evidentemente, como ocorre em qualquer processo administrativo, deverão ser assegurados aos agentes de tratamento o contraditório, a ampla defesa e o direito de recurso, não apenas em razão do quanto expressamente previsto nos artigos 52, § 1º, e 55-J, IV, da LGPD, como também da regra geral contida nos artigos 2º e 27, parágrafo único, da Lei 9.784/1999, que regula os processos administrativos no âmbito da Administração Pública Federal.

Como se vê, ainda que a autoridade no início se disponha a ter uma atuação mais comedida e pedagógica, a entrada em vigor das sanções administrativas e o rigor dessas penalidades reforça a necessidade de que as empresas se adequem o quanto antes às exigências da LGPD, realizando o tratamento de dados pessoais em conformidade com os princípios e as garantias asseguradas pela lei.

Nesse sentido, segundo pesquisa realizada pela empresa ICTS Protiviti¹, especializada em consultoria, auditoria e serviços em gestão de riscos, 84% das mais de 500 empresas avaliadas não estão preparadas para as novas regras de privacidade de dados. Outro levantamento recente, da BluePex², especializada em soluções de controle e segurança da informação, aponta que apenas 4% das pequenas e médias empresas se adequaram à LGPD.

Os dados são alarmantes e trazem incertezas quanto ao tempo que será necessário para que tenhamos um ambiente que, de fato, respeite os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural. De todo modo, a possibilidade de a ANPD, a partir de agora, fiscalizar de forma efetiva o cumprimento da lei, aplicando sanções, certamente contribuirá para a aceleração desse processo, que se mostra uma tendência mundial.

__________

1 Disponível aqui.

2 Disponível aqui.