Migalhas de Peso

Multa máxima por violação de dados pessoais: 2% ou 10% do faturamento?

Até o momento, pouco se discutiu sobre a possível aplicação de outras sanções relacionadas a violações de proteção de dados que não aquelas expressamente previstas na LGPD.

8/6/2020

Desde a publicação da LGPD, em agosto de 2018, ouvimos repetidamente a frase: empresas que desrespeitarem a Lei Geral de Proteção de Dados estarão sujeitas a multas que poderão chegar a 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil, não podendo ultrapassar o montante de R$ 50.000.000,00. Essa frase, que inclusive foi combustível para a corrida de muitas empresas em direção à adequação de seus processos e governança à LGPD, é uma reprodução do artigo 52, II, da LGPD e não está errada.

No entanto, até o momento, pouco se discutiu sobre a possível aplicação de outras sanções relacionadas a violações de proteção de dados que não aquelas expressamente previstas na LGPD. O intuito deste breve artigo é, justamente, antecipar controvérsia que possivelmente teremos de enfrentar muito em breve: considerando que a Lei Geral de Proteção de Dados (lei federal 13.709/18) não revogou expressamente o Marco Civil da Internet (lei 12.965/14) - tendo se limitado a alterá-lo pontualmente -, poderia a Autoridade Nacional de Proteção de Dados (ANPD), em casos envolvendo o uso da internet no Brasil, aplicar as sanções previstas no Marco Civil da Internet (MCI)?

Será que 2% realmente é o teto das sanções administrativas pecuniárias por violação à proteção de dados?

Vejamos abaixo as faíscas que cercam o barril de pólvora trazido pelo aparente conflito LGPD x MCI.

Elemento incendiário 1: as sanções previstas no Marco Civil da Internet

O Marco Civil da Internet, apesar de estar fora de moda nos grupos de discussão e longe dos holofotes, é a lei que atualmente regula as operações de tratamento de dados ocorridas na internet. Vigente desde 2014, o MCI traz entre suas disposições a previsão expressa de sanções por violação de dados pessoais ocorridas no ambiente online. São as previstas no artigo 12 da seção II, que, por sinal, leva, o título “Da Proteção aos Registros, aos Dados Pessoais e às Comunicações Privadas:

1. Advertência, com indicação de prazo para adoção de medidas corretivas;

2. Multa de até 10% (dez por cento) do faturamento do grupo econômico no brasil no seu último exercício, excluídos os tributos, considerados a condição econômica do infrator e o princípio da proporcionalidade entre a gravidade da falta e a intensidade da sanção;

3. Suspensão temporária das atividades de tratamento de dados; ou

4. Proibição de exercício das atividades de tratamento de dados.

Até o presente momento, não se pode negar que tais sanções estiveram esquecidas por falta de enforcement. No entanto, o surgimento de uma Autoridade específica para o assunto proteção de dados traz grande potencial de fazer com que elas venham a ser relembradas, deixando de ser apenas letras mortas no cenário do direito à proteção de dados.

Ainda resgatando os dispositivos do MCI, precisamos lembrar que, aproximadamente 2 anos depois da sua publicação, referida lei foi regulamentada pelo decreto 8.771/16, que abordou especificamente a questão da aplicação das sanções. Já na parte final do Decreto, aquela pela qual muitos passam sem ler, há um dispositivo que não merece passar batido:

Art. 20. Os órgãos e as entidades da administração pública federal com competências específicas quanto aos assuntos relacionados a este Decreto atuarão de forma colaborativa, consideradas as diretrizes do CGIbr, e deverão zelar pelo cumprimento da legislação brasileira, inclusive quanto à aplicação das sanções cabíveis, mesmo que as atividades sejam realizadas por pessoa jurídica sediada no exterior, nos termos do art. 11 da Lei nº 12.965, de 2014 .

Apesar desse artigo 20 ter sido escrito em época na qual a ANPD ainda era assunto para Anteprojeto de Lei de Proteção de Dados (ou seja, muito antes de se falar em sua efetiva constituição), fato é que ele se encaixa como uma luva para o momento em que a Autoridade estiver ativa e operante, já que a ANPD:

Portanto, ao menos em tese, o artigo 20 do Decreto que regulamenta o Marco Civil da Internet abre margem para que a ANPD aplique as sanções do artigo 12 do MCI em situações de violação da proteção de dados ocorridas no contexto da utilização da Internet no Brasil. Fora isso, a própria LGPD prevê a possibilidade de aplicação de outras sanções estabelecidas em legislações específicas (como o caso do MCI), como veremos a seguir.

Elemento incendiário 2: a LGPD não exclui a aplicação de sanções administrativas previstas em legislação específica

Trazendo gasolina para o cenário já inflamável, temos que lembrar que a LGPD expressamente garante a possibilidade da aplicação de outras sanções administrativas para além daquelas nela mesmo previstas, nos seguintes termos:

Art. 52. Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas nesta Lei, ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional:

(...)

§ 2º O disposto neste artigo não substitui a aplicação de sanções administrativas, civis ou penais definidas na Lei nº 8.078, de 11 de setembro de 1990, e em legislação específica.

Diante disso, para quem quiser defender tal linha de raciocínio, por mais irrazoável que possa parecer, será possível afirmar que tanto o MCI como a LGPD reúnem elementos para que a ANPD aplique as sanções do Marco Civil da Internet, que, do ponto de vista pecuniário, são significativamente maiores que aquelas prevista na LGPD (2% do faturamento limitada a 50 milhões de reais x 10% do faturamento sem qualquer limite expresso).

A alternativa para que isso não acontecesse passaria pela revogação do artigo 12 do Marco Civil da Internet - bem como dos demais dispositivos de tal lei que aparentemente conflitam com a LGPD. Seguramente, haverá quem suscitará a antinomia entre as leis e a necessidade de aplicação dos critérios jurídicos para resolução dos aparentes conflitos, defendendo até eventual revogação tácita do MCI na parte em que é incompatível com a LGPD. Mas, enquanto não acontecer a revogação, o barril de pólvora estará totalmente armado – e a ANPD já nascerá com o fósforo na mão para acendê-lo ou não.

Vamos acompanhar as cenas dos próximos capítulos do sistema jurídico da proteção de dados, tendo apenas uma certeza: os debates já estão pegando fogo, sendo possível até já sentir o calor das chamas meses antes da LGPD entrar em vigor. 

_________

*Luis Fernando Prado Chaves é sócio e head da área de Direito Digital e Proteção de Dados da Daniel Advogados. Especialista em Propriedade Intelectual e Novos Negócios pela FGV DIREITO/SP. Graduado em Direito pela Universidade Presbiteriana Mackenzie.

Veja mais no portal
cadastre-se, comente, saiba mais

Artigos Mais Lidos

ITBI na integralização de bens imóveis e sua importância para o planejamento patrimonial

19/11/2024

Cláusulas restritivas nas doações de imóveis

19/11/2024

Estabilidade dos servidores públicos: O que é e vai ou não acabar?

19/11/2024

O SCR - Sistema de Informações de Crédito e a negativação: Diferenciações fundamentais e repercussões no âmbito judicial

20/11/2024

Quais cuidados devo observar ao comprar um negócio?

19/11/2024