O fim da vacatio legis das sanções administrativas da LGPD

No mês de julho de 2021, o termo "multa LGPD" esteve dentre os mais procurados pelos usuários da internet, segundo o Google Trends. Uma das explicações para tal crescimento é o fato de que as sanções da LGPD passarão a vigorar a partir de 1º de agosto deste ano. A sua proximidade gera um senso coletivo de urgência na adequação à norma, uma vez que há um sentimento geral de que - só agora - há a possibilidade de punição pelo descumprimento legal.

Antes de tratar efetivamente sobre as sanções, é preciso realizar um apanhado sobre o seu contexto de instituição. A Lei Geral de Proteção de Dados (lei 13.709/18) é uma norma que tem como objetivo precípuo instituir políticas e diretrizes para a proteção de dados pessoais, além de outras modalidades de dados expostas em seu texto legislativo.

Promulgada em 2018, passou a ter vigência apenas em setembro de 2020, através de um conturbado processo de alterações legislativas, vetos e medidas provisórias que culminaram na nossa lei tal qual a temos hoje.

Veja: em síntese, o texto inicial da Lei previa que a LGPD deveria ter entrado em vigor dezoito meses após sua publicação, isto é, em 14 de fevereiro de 2020. Todavia, devido às diversas discursões no que tange ao "curto" tempo para adequação das empresas e órgãos públicos, atrelado ao custo de implementação em um cenário de pandemia, houve um lobby para a prorrogação por mais seis meses, totalizando dois anos de vacatio legis da LGPD.

Nesse canário temerário de jogo de interesses, foi publicada, em junho de 2020, a lei 14.010, por meio da qual, mesmo que a LGPD passasse a vigorar a partir de agosto de 2020, suas sanções só surtiriam efeitos em agosto de 2021.

Não suficiente esse imbróglio, ainda há o fato de que a Medida Provisória n. 959/2020 tentou estender a vacatio legis da LGPD para maio de 2021, mas ao ser convertida na lei 14.058/20, em setembro de 2020, houve a exclusão do artigo que previa a prorrogação, de modo que a LGPD passou a vigorar automaticamente a partir de setembro do ano passado, ao passo que as sanções permaneciam com a sua aplicabilidade suspensa.

Em suma, a partir de 1º de agosto de 2021 é que entram em vigor as sanções administrativas da LGPD. Passemos à uma análise do tema.

Primeiro, observe que as sanções, como muito se expõe, não serão aplicadas indiscriminadamente e a toque de caixa. Quando impostas, estas serão frutos de um devido processo administrativo, em que será oportunizado à parte infratora a ampla defesa e o contraditório.

A LGPD enuncia ainda que a aplicação das sanções está sujeita à observância de aspectos como a gravidade da infração, a boa-fé do infrator; a vantagem auferida; a condição econômica do infrator; a reincidência; o grau de dano causado; a cooperação do infrator; a demonstração de adoção de mecanismos e procedimentos para mitigar os danos; a adoção de política de boas práticas e governança; a pronta adoção de medidas corretivas; a proporcionalidade entre a gravidade da falta e a intensidade da sanção.

Por exemplo, para as infrações de menor gravidade, a lei prevê apenas uma advertência a fim de que a parte infratora possa reparar a infração normativa praticada. Entretanto, há também a possibilidade de aplicação de multa simples, por infração, de até 2% (dois por cento) do faturamento da empresa no seu último exercício, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais). Outrossim, pode ser estipulada a aplicação de multa diária até o valor de R$ 50.000.000,00 (cinquenta milhões de reais).

A Lei informa que caberá à Autoridade Nacional de Proteção de Dados (ANPD) a edição de regulamento próprio sobre as sanções administrativas, o qual deve conter metodologia clara de orientação do cálculo das penas de multa. Inclusive, será o regulamento da ANPD que dirá se a multa a ser aplicada será simples ou diária, em observância à gravidade da falta e a extensão do dano ou prejuízo causado aos titulares de dados. Vale frisar que as multas apenas se aplicam às pessoas naturais e empresas privadas, não incorrendo em tal penalidade as pessoas jurídicas de direito público.

Para além das multas pecuniárias, a ANPD pode promover a publicização da falta cometida. Isso significa externar, pelos meios oficiais de comunicação, a infração e o seu autor. Não é difícil deduzir o peso dos danos ocasionados à imagem da empresa ou órgão públicos pela prática de infrinjam a norma. Das sanções, essa é uma das que tem maior poder de afetar as atividades do infrator, visto que enseja enormes ônus patrimoniais diretos, pois afasta o público consumidor e cria empecilhos à captação de investimentos; como indiretos, pois afeta diretamente a imagem da empresa perante o mercado em geral.

Além disso, outras penalidades dizem respeito à exclusão, bloqueio ou suspensão de dados correlatos à infração. Como é cediço, estamos em um momento em que os dados, quando estruturados, possuem um imensurável valor agregado. Logo, a proibição de tratamento de dados, por exemplo, é suficiente para paralisar a atividade de inúmeros negócios.

Observe que há uma sequência lógica para a aplicação das sanções. As supracitadas, por exemplo, que são correlatas aos dados envolvidos na infração, devem ser aplicadas em um primeiro estágio. Entretanto, caso não haja a regularização, a lei prevê penas mais gravosas, como a suspensão parcial do funcionamento do banco de dados a que se refere a infração até a regularização da atividade de tratamento pelo controlador.

É possível ainda determinar a suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração, pelo período máximo de 6 (seis) meses, ou designar a proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados, acarretando o encerramento das atividades e todos os seus prejuízos conexos.

Nesse cenário de urgência em adequação, é necessário instituir uma cultura de proteção de dados em sua entidade. Essa política institucional, que deve atingir toda a estrutura de pessoas da instituição, precisa ter minimamente um enfoque na compreensão e respeito aos princípios da norma, no entendimento dos requisitos e limites de tratamento, bem como busca pela garantia aos direitos dos titulares.

Afinal, a não incidência de penalidades é resultado de uma conformidade com a LGPD. Isso, por sua vez, exige uma mudança de mentalidade e readequação de processos e procedimentos, para a qual resta imprescindível investimento de tempo e mudança nas políticas de tratamento de dados pelo controlador e operador, tudo em vista a proteger o usuário titular de dados pessoais.

Dessa forma, deve-se, de início, fazer um mapeamento (data mapping) dos processos da instituição que execute o tratamento de dados pessoais. Na prática, isso se configura - de forma sintetizada - em um levantamento de como a instituição está tratando os dados que coleta, se este tratamento está correto e de que forma pode ser melhorado para atender às especificidades da lei.

Em seguida, é imprescindível a realização de uma análise de risco desses meios a fim de aplicar medidas jurídicas, técnicas, de comunicação e gestão para mitigá-lo ou atenuá-lo. Ato contínuo, bem estabelecidas as medidas, devem ser exploradas ferramentas que possibilitem a concretização dessa demanda, como a contratação de plataformas específicas de tratamento de dados, a adequação de documentos como contratos de colaboradores, parceiros e fornecedores, atualização da política de privacidade, reformulação da cultura interna de tratamento de dados, através da promoção de treinamentos, companhas, capacitações e afins.

Como se vê, é um trabalho árduo, multidisciplinar e muitas vezes complexo, que envolve profissionais das mais diversas áreas, que em grande parte das empresas não tem uma conexão cotidiana. Por isso, a parte técnica não é suficiente para que uma adequação seja completa. Cultura e conscientização são as palavras chaves para o começo de uma organização da proteção de dados.