Desde a publicação da LGPD, em agosto de 2018, ouvimos repetidamente a frase: empresas que desrespeitarem a Lei Geral de Proteção de Dados estarão sujeitas a multas que poderão chegar a 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil, não podendo ultrapassar o montante de R$ 50.000.000,00. Essa frase, que inclusive foi combustível para a corrida de muitas empresas em direção à adequação de seus processos e governança à LGPD, é uma reprodução do artigo 52, II, da LGPD e não está errada.
No entanto, até o momento, pouco se discutiu sobre a possível aplicação de outras sanções relacionadas a violações de proteção de dados que não aquelas expressamente previstas na LGPD. O intuito deste breve artigo é, justamente, antecipar controvérsia que possivelmente teremos de enfrentar muito em breve: considerando que a Lei Geral de Proteção de Dados (lei federal 13.709/18) não revogou expressamente o Marco Civil da Internet (lei 12.965/14) - tendo se limitado a alterá-lo pontualmente -, poderia a Autoridade Nacional de Proteção de Dados (ANPD), em casos envolvendo o uso da internet no Brasil, aplicar as sanções previstas no Marco Civil da Internet (MCI)?
Será que 2% realmente é o teto das sanções administrativas pecuniárias por violação à proteção de dados?
Vejamos abaixo as faíscas que cercam o barril de pólvora trazido pelo aparente conflito LGPD x MCI.
Elemento incendiário 1: as sanções previstas no Marco Civil da Internet
O Marco Civil da Internet, apesar de estar fora de moda nos grupos de discussão e longe dos holofotes, é a lei que atualmente regula as operações de tratamento de dados ocorridas na internet. Vigente desde 2014, o MCI traz entre suas disposições a previsão expressa de sanções por violação de dados pessoais ocorridas no ambiente online. São as previstas no artigo 12 da seção II, que, por sinal, leva, o título “Da Proteção aos Registros, aos Dados Pessoais e às Comunicações Privadas:
1. Advertência, com indicação de prazo para adoção de medidas corretivas;
2. Multa de até 10% (dez por cento) do faturamento do grupo econômico no brasil no seu último exercício, excluídos os tributos, considerados a condição econômica do infrator e o princípio da proporcionalidade entre a gravidade da falta e a intensidade da sanção;
3. Suspensão temporária das atividades de tratamento de dados; ou
4. Proibição de exercício das atividades de tratamento de dados.
Até o presente momento, não se pode negar que tais sanções estiveram esquecidas por falta de enforcement. No entanto, o surgimento de uma Autoridade específica para o assunto proteção de dados traz grande potencial de fazer com que elas venham a ser relembradas, deixando de ser apenas letras mortas no cenário do direito à proteção de dados.
Ainda resgatando os dispositivos do MCI, precisamos lembrar que, aproximadamente 2 anos depois da sua publicação, referida lei foi regulamentada pelo decreto 8.771/16, que abordou especificamente a questão da aplicação das sanções. Já na parte final do Decreto, aquela pela qual muitos passam sem ler, há um dispositivo que não merece passar batido:
Art. 20. Os órgãos e as entidades da administração pública federal com competências específicas quanto aos assuntos relacionados a este Decreto atuarão de forma colaborativa, consideradas as diretrizes do CGIbr, e deverão zelar pelo cumprimento da legislação brasileira, inclusive quanto à aplicação das sanções cabíveis, mesmo que as atividades sejam realizadas por pessoa jurídica sediada no exterior, nos termos do art. 11 da Lei nº 12.965, de 2014 .
Apesar desse artigo 20 ter sido escrito em época na qual a ANPD ainda era assunto para Anteprojeto de Lei de Proteção de Dados (ou seja, muito antes de se falar em sua efetiva constituição), fato é que ele se encaixa como uma luva para o momento em que a Autoridade estiver ativa e operante, já que a ANPD:
- É órgão da administração pública federal; e
- Com competências específicas quanto à proteção de dados (assunto relacionado ao decreto 8.771/16 e ao próprio MCI).
Portanto, ao menos em tese, o artigo 20 do Decreto que regulamenta o Marco Civil da Internet abre margem para que a ANPD aplique as sanções do artigo 12 do MCI em situações de violação da proteção de dados ocorridas no contexto da utilização da Internet no Brasil. Fora isso, a própria LGPD prevê a possibilidade de aplicação de outras sanções estabelecidas em legislações específicas (como o caso do MCI), como veremos a seguir.
Elemento incendiário 2: a LGPD não exclui a aplicação de sanções administrativas previstas em legislação específica
Trazendo gasolina para o cenário já inflamável, temos que lembrar que a LGPD expressamente garante a possibilidade da aplicação de outras sanções administrativas para além daquelas nela mesmo previstas, nos seguintes termos:
Art. 52. Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas nesta Lei, ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional:
(...)
§ 2º O disposto neste artigo não substitui a aplicação de sanções administrativas, civis ou penais definidas na Lei nº 8.078, de 11 de setembro de 1990, e em legislação específica.
Diante disso, para quem quiser defender tal linha de raciocínio, por mais irrazoável que possa parecer, será possível afirmar que tanto o MCI como a LGPD reúnem elementos para que a ANPD aplique as sanções do Marco Civil da Internet, que, do ponto de vista pecuniário, são significativamente maiores que aquelas prevista na LGPD (2% do faturamento limitada a 50 milhões de reais x 10% do faturamento sem qualquer limite expresso).
A alternativa para que isso não acontecesse passaria pela revogação do artigo 12 do Marco Civil da Internet - bem como dos demais dispositivos de tal lei que aparentemente conflitam com a LGPD. Seguramente, haverá quem suscitará a antinomia entre as leis e a necessidade de aplicação dos critérios jurídicos para resolução dos aparentes conflitos, defendendo até eventual revogação tácita do MCI na parte em que é incompatível com a LGPD. Mas, enquanto não acontecer a revogação, o barril de pólvora estará totalmente armado – e a ANPD já nascerá com o fósforo na mão para acendê-lo ou não.
Vamos acompanhar as cenas dos próximos capítulos do sistema jurídico da proteção de dados, tendo apenas uma certeza: os debates já estão pegando fogo, sendo possível até já sentir o calor das chamas meses antes da LGPD entrar em vigor.
_________