MIGALHAS DE PESO

  1. Home >
  2. De Peso >
  3. Multa máxima por violação de dados pessoais: 2% ou 10% do faturamento?

Multa máxima por violação de dados pessoais: 2% ou 10% do faturamento?

Luis Fernando Prado Chaves

Até o momento, pouco se discutiu sobre a possível aplicação de outras sanções relacionadas a violações de proteção de dados que não aquelas expressamente previstas na LGPD.

segunda-feira, 8 de junho de 2020

Atualizado em 9 de junho de 2020 09:43

t

Desde a publicação da LGPD, em agosto de 2018, ouvimos repetidamente a frase: empresas que desrespeitarem a Lei Geral de Proteção de Dados estarão sujeitas a multas que poderão chegar a 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil, não podendo ultrapassar o montante de R$ 50.000.000,00. Essa frase, que inclusive foi combustível para a corrida de muitas empresas em direção à adequação de seus processos e governança à LGPD, é uma reprodução do artigo 52, II, da LGPD e não está errada.

No entanto, até o momento, pouco se discutiu sobre a possível aplicação de outras sanções relacionadas a violações de proteção de dados que não aquelas expressamente previstas na LGPD. O intuito deste breve artigo é, justamente, antecipar controvérsia que possivelmente teremos de enfrentar muito em breve: considerando que a Lei Geral de Proteção de Dados (lei federal 13.709/18) não revogou expressamente o Marco Civil da Internet (lei 12.965/14) - tendo se limitado a alterá-lo pontualmente -, poderia a Autoridade Nacional de Proteção de Dados (ANPD), em casos envolvendo o uso da internet no Brasil, aplicar as sanções previstas no Marco Civil da Internet (MCI)?

Será que 2% realmente é o teto das sanções administrativas pecuniárias por violação à proteção de dados?

Vejamos abaixo as faíscas que cercam o barril de pólvora trazido pelo aparente conflito LGPD x MCI.

Elemento incendiário 1: as sanções previstas no Marco Civil da Internet

O Marco Civil da Internet, apesar de estar fora de moda nos grupos de discussão e longe dos holofotes, é a lei que atualmente regula as operações de tratamento de dados ocorridas na internet. Vigente desde 2014, o MCI traz entre suas disposições a previsão expressa de sanções por violação de dados pessoais ocorridas no ambiente online. São as previstas no artigo 12 da seção II, que, por sinal, leva, o título "Da Proteção aos Registros, aos Dados Pessoais e às Comunicações Privadas:

1. Advertência, com indicação de prazo para adoção de medidas corretivas;

2. Multa de até 10% (dez por cento) do faturamento do grupo econômico no brasil no seu último exercício, excluídos os tributos, considerados a condição econômica do infrator e o princípio da proporcionalidade entre a gravidade da falta e a intensidade da sanção;

3. Suspensão temporária das atividades de tratamento de dados; ou

4. Proibição de exercício das atividades de tratamento de dados.

Até o presente momento, não se pode negar que tais sanções estiveram esquecidas por falta de enforcement. No entanto, o surgimento de uma Autoridade específica para o assunto proteção de dados traz grande potencial de fazer com que elas venham a ser relembradas, deixando de ser apenas letras mortas no cenário do direito à proteção de dados.

Ainda resgatando os dispositivos do MCI, precisamos lembrar que, aproximadamente 2 anos depois da sua publicação, referida lei foi regulamentada pelo decreto 8.771/16, que abordou especificamente a questão da aplicação das sanções. Já na parte final do Decreto, aquela pela qual muitos passam sem ler, há um dispositivo que não merece passar batido:

Art. 20. Os órgãos e as entidades da administração pública federal com competências específicas quanto aos assuntos relacionados a este Decreto atuarão de forma colaborativa, consideradas as diretrizes do CGIbr, e deverão zelar pelo cumprimento da legislação brasileira, inclusive quanto à aplicação das sanções cabíveis, mesmo que as atividades sejam realizadas por pessoa jurídica sediada no exterior, nos termos do art. 11 da Lei nº 12.965, de 2014 .

Apesar desse artigo 20 ter sido escrito em época na qual a ANPD ainda era assunto para Anteprojeto de Lei de Proteção de Dados (ou seja, muito antes de se falar em sua efetiva constituição), fato é que ele se encaixa como uma luva para o momento em que a Autoridade estiver ativa e operante, já que a ANPD:

  • É órgão da administração pública federal; e
  • Com competências específicas quanto à proteção de dados (assunto relacionado ao decreto 8.771/16 e ao próprio MCI).

Portanto, ao menos em tese, o artigo 20 do Decreto que regulamenta o Marco Civil da Internet abre margem para que a ANPD aplique as sanções do artigo 12 do MCI em situações de violação da proteção de dados ocorridas no contexto da utilização da Internet no Brasil. Fora isso, a própria LGPD prevê a possibilidade de aplicação de outras sanções estabelecidas em legislações específicas (como o caso do MCI), como veremos a seguir.

Elemento incendiário 2: a LGPD não exclui a aplicação de sanções administrativas previstas em legislação específica

Trazendo gasolina para o cenário já inflamável, temos que lembrar que a LGPD expressamente garante a possibilidade da aplicação de outras sanções administrativas para além daquelas nela mesmo previstas, nos seguintes termos:

Art. 52. Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas nesta Lei, ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional:

(...)

§ 2º O disposto neste artigo não substitui a aplicação de sanções administrativas, civis ou penais definidas na Lei nº 8.078, de 11 de setembro de 1990, e em legislação específica.

Diante disso, para quem quiser defender tal linha de raciocínio, por mais irrazoável que possa parecer, será possível afirmar que tanto o MCI como a LGPD reúnem elementos para que a ANPD aplique as sanções do Marco Civil da Internet, que, do ponto de vista pecuniário, são significativamente maiores que aquelas prevista na LGPD (2% do faturamento limitada a 50 milhões de reais x 10% do faturamento sem qualquer limite expresso).

A alternativa para que isso não acontecesse passaria pela revogação do artigo 12 do Marco Civil da Internet - bem como dos demais dispositivos de tal lei que aparentemente conflitam com a LGPD. Seguramente, haverá quem suscitará a antinomia entre as leis e a necessidade de aplicação dos critérios jurídicos para resolução dos aparentes conflitos, defendendo até eventual revogação tácita do MCI na parte em que é incompatível com a LGPD. Mas, enquanto não acontecer a revogação, o barril de pólvora estará totalmente armado - e a ANPD já nascerá com o fósforo na mão para acendê-lo ou não.

Vamos acompanhar as cenas dos próximos capítulos do sistema jurídico da proteção de dados, tendo apenas uma certeza: os debates já estão pegando fogo, sendo possível até já sentir o calor das chamas meses antes da LGPD entrar em vigor. 

_________

t*Luis Fernando Prado Chaves é sócio e head da área de Direito Digital e Proteção de Dados da Daniel Advogados. Especialista em Propriedade Intelectual e Novos Negócios pela FGV DIREITO/SP. Graduado em Direito pela Universidade Presbiteriana Mackenzie.

APOIADORES
Apoiador Migalhas
ver todos
FOMENTADORES
Fomentador Migalhas
ver todos

AUTORES MIGALHAS

Busque pelo nome ou parte do nome do autor para encontrar publicações no Portal Migalhas.

Busca
QUERO SER MIGALHEIRO VIP