COLUNAS

  1. Home >
  2. Colunas >
  3. Migalhas de IA e Proteção de Dados >
  4. O Brasil está pronto para as sanções administrativas previstas na LGPD?

O Brasil está pronto para as sanções administrativas previstas na LGPD?

sexta-feira, 6 de agosto de 2021

Atualizado às 07:43

Há exatamente um ano, tivemos a honra de inaugurar esta coluna "Migalhas de Proteção de Dados" com o texto no qual analisamos as polêmicas em torno da vigência da LGPD. Em síntese, foram diversas tentativas de prorrogar o início da vigência da LGPD, mas a lei entrou parcialmente em vigor no dia 18 de setembro de 2020, quando o Presidente Jair Bolsonaro sancionou a lei 14.058, de 17/9/2020, publicada no Diário Oficial da União no dia 18/9/2020, retirando os artigos que pretendiam postergar a vigência da LGPD para maio de 2021. Assim, entende-se que a LGPD está em vigor a partir da vigência da lei 14.058/2020, suprindo uma importante lacuna no ordenamento jurídico brasileiro como alertado por Newton De Lucca e Renata Mota Maciel.1

As sanções administrativas previstas na LGPD, no entanto, somente passaram a vigorar a partir de 1º de agosto de 2021, porque a lei 14.010, de 10 de junho de 2020 - que estabelece normas integrantes do denominado "Regime Jurídico Emergencial e Transitório das relações jurídicas de Direito Privado (RJET)" no período da pandemia do novo coronavírus, -, determinou no art. 20 a prorrogação da vigência dos artigos 52, 53 e 54 da LGPD.2

Assim, uma pergunta em destaque nestes últimos dias é se a sociedade brasileira, os órgãos públicos e as empresas estão ou não adequadas à LGPD e se a própria ANPD terá condições efetivas (tanto em recursos humanos, quanto materiais) para fiscalizar o correto cumprimento da lei e aplicar as sanções nela previstas após o processo administrativo, garantida a ampla defesa e o contraditório, consoante o art. 55-J, inc. IV, da LGPD.3

Algumas particularidades das sanções administrativas previstas na LGPD 

A LGPD prevê em um rol taxativo das penalidades administrativas que podem ser aplicadas pela Autoridade Nacional de Proteção de Dados (ANPD), quais sejam4:

- advertência, sendo que a ANPD deve indicar um prazo para a adoção de medidas corretivas;

- multa simples de até 2% do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$50 milhões de reais por infração;

- multa diária (astreintes), ou seja, multa a ser cobrada por dia até que a pessoa jurídica de direito privado cumpra as determinações indicadas pela ANPD, observado o limite acima estabelecido em lei;

- publicização, isto é, a divulgação das empresas e dos órgãos públicos que descumpriram as obrigações previstas na LGPD, o que pode representar um prejuízo financeiro além do limite acima indicado, podendo a publicização causar, até mesmo, a falência do negócio por desconfiança dos usuários dos serviços (titulares de dados pessoais);

- bloqueio dos dados pessoais tratados em desconformidade com a LGPD, até que seja regularizada a infração;

- eliminação dos dados pessoais tratados em desconformidade com a LGPD;

- suspensão parcial do funcionamento do banco de dados pelo prazo máximo de 6 meses, podendo ser prorrogado por igual período até a regularização da atividade de tratamento de dados;

- suspensão do exercício da atividade de tratamento de dados pessoais pelo prazo máximo de 6 meses, também podendo ser prorrogável por igual período;

- proibição parcial ou total do exercício das atividades relacionadas a tratamento de dados.

Estas sanções administrativas estão mencionadas de forma crescente quanto à sua gravidade, isto é, a advertência é a sanção mais leve enquanto a proibição parcial ou total do exercício das atividades, a mais grave. Pouco se tem falado das sanções referentes à publicização, ao bloqueio ou à eliminação dos dados pessoais, bem como sobre a suspensão parcial do funcionamento do banco de dados ou da atividade de tratamento de dados, além da proibição parcial ou total do exercício das atividades de tratamento de dados, penalidades estas que se não forem dosadas com cautela poderão causar a insolvência empresarial.

Sem embargo dos possíveis questionamentos em torno da matéria, entendemos ser este rol taxativo, ou seja, a ANPD não poderá inovar, criando outras sanções administrativas não mencionadas no art. 52 da LGPD, em virtude do inc. XXXIX do art. 5º da CF/88 (não há pena sem prévia cominação legal).5 No entanto, as sanções administrativas previstas na LGPD são suficientes para o enforcement da lei de maneira abstrata. Isto porque, fazendo um paralelo, o fato de o Código Penal prever pena restritiva de liberdade para a prática do crime de homicídio, infelizmente, não impediu, nem mesmo diminuiu, as milhares de mortes decorrentes dos crimes dolosos contra a vida.

Nesse diapasão, cumpre salientar que o propósito básico da ANPD deverá direcionar-se - em especial neste momento inicial de mudança cultural em prol da proteção de dados pessoais - no sentido de uma atuação eminentemente pedagógica. Em outras palavras, o diálogo com os diversos setores da sociedade brasileira deve ser o mais amplo possível, com propagandas educativas para orientar tanto os agentes de tratamento de dados, quanto os titulares de dados a se conscientizarem das obrigações e dos direitos previstos na LGPD.

A atuação pedagógica da ANPD 

A sociedade brasileira experimenta, atualmente, significativa mudança na cultura de cenários de "superexposição", de divulgação de CPF e de outras informações importantes para obter apenas um pífio desconto em produtos e serviços, sem o questionamento do porquê de disponibilizar tais informações. Caberia lembrar, a propósito, a passagem de Yuval Noah Harari, segundo a qual "no século XXI, nossos dados pessoais são provavelmente o recurso mais valioso que ainda temos a oferecer, e os entregamos aos gigantes tecnológicos em troca de serviços de e-mail e de vídeos com gatos engraçadinhos."

É preciso assinalar, no entanto, que estamos apenas no começo desta jornada, diferentemente de países como Alemanha e França, que desenvolvem a cultura de proteção de dados desde a década de 70 da centúria passada.

Nesse sentido, muito mais importante do que aplicar as sanções previstas na lei, a ANPD deve priorizar a promoção do conhecimento das normas e das políticas públicas sobre proteção de dados pessoais e das medidas de segurança (inc. VI do art. 55-J da LGPD), além ouvir os agentes de tratamento de dados e a sociedade em matérias de interesse relevante (inc. XIV do art. 55-J da LGPD).

Ademais, sobreleva destacar que ainda existem diversas lacunas na lei, além de cláusulas gerais e de conceitos jurídicos indeterminados (aliás, não só jurídicos, mas técnicos também) como, exemplificativamente, a polêmica questão da anonimização e da pseudoanonimização. Portanto, a ANPD deverá exercer uma função eminentemente didática, pavimentando o terreno para  criar um cenário ideal tendente ao real enforcement da LGPD.

Da aplicação das sanções administrativas previstas na LGPD aos órgãos públicos

A LGPD foi expressa em mencionar regras específicas para o tratamento de dados pessoais pelo Poder Público (capítulo IV, arts. 23 a 30 da LGPD). Consequentemente, além das regras específicas, os órgãos públicos devem observar as regras gerais, como os princípios estabelecidos no art. 6º, além das diversas obrigações impostas aos agentes de tratamento de dados. Neste contexto, poder-se-ia indagar se os órgãos públicos, na hipótese de descumprimento da LGPD, devem estar sujeitos às sanções administrativas nela previstas?

Trata-se, ao que parece, de aspecto extremamente delicado e bastante controvertido da LGPD. Imagine-se, por exemplo, a hipótese de ser aplicada ao IBGE a eliminação dos dados pessoais coletados ou mesmo de aplicar-se  multa a um órgão público, cujo pagamento viria dos impostos pagos por todos os cidadãos brasileiros... Ou, ainda, impedir um Registro Civil de Pessoas Naturais de realizar registros de nascimentos ou de óbitos, ou mesmo casamentos, uma vez que os cartórios foram equiparados ao Poder Público nos termos dos §§ 4º e 5º do art. 23 da LGPD. Em tais cenários, parece inquestionável que a aplicação de algumas sanções previstas na LGPD acarretaria inevitável prejuízo aos próprios titulares de dados e à coletividade, configurando uma evidente injustiça.6

A esse propósito, aliás, a ANPD já se pronunciou no sentido de que as sanções pecuniárias não podem ser aplicadas aos órgãos públicos.7 Todavia, as demais  sanções administrativas previstas na LGPD, que não as pecuniárias, poderão ser aplicadas aos órgãos públicos, conforme destacado no aludido texto. Diante das possíveis dubiedades existentes, parece-nos que seria adequada e prudente a elaboração de um regramento específico sobre as sanções administrativas a serem aplicadas aos órgãos públicos.

Enfim, para a aplicação das sanções previstas na LGPD, deverão ser levadas em consideração, além dos critérios mencionados no § 1º do art. 52 da LGPD para a dosagem da penalidade a ser aplicada, também as peculiaridades de cada órgão público que possa ter violado a LGPD.

O que esperar para o próximo ano quando as sanções administrativas estarão em vigor?

Ainda que as sanções tenham entrado em vigor, a ANPD irá editar um regulamento específico sobre as sanções administrativas, que será submetido à consulta pública. Portanto, somente após a definição das metodologias que orientarão o cálculo do valor-base para as sanções de multa, tais sanções poderão ser tecnicamente aplicadas pela ANPD consoante as regras estabelecidas no seu Regimento Interno.8

Esse ponto está intimamente ligado à minuta de resolução para o "Regulamento de Fiscalização e Aplicação de Sanções Administrativas", que deve ser encaminhada em breve ao Conselho Diretor da ANPD para deliberação.9 No entanto, pode-se esperar uma atuação pedagógica da ANPD, como acima alertado, privilegiando uma abordagem "responsiva, ou seja, de maneira gradual, baseada no comportamento do regulado e alicerçada em um plano de monitoramento do setor que permita a priorização de temas segundo seu risco, gravidade, atualidade e relevância."

Em suma, a ANPD somente poderá aplicar as sanções administrativas previstas na LGPD aos fatos ocorridos após 1º de agosto de 2021, quando os artigos 52, 53 e 54 da LGPD entraram em vigor. No entanto, as infrações à LGPD, iniciadas antes de 1º de agosto de 2021, mas que continuaram a ser cometidas após essa data, deverão ser objeto de análise pela ANPD que, após o contraditório e ampla defesa, poderá aplicar as sanções previstas na lei.

Ainda há mais dúvidas do que respostas definitivas, sendo recomendável que, pelo menos até a aprovação do Regulamento de Fiscalização e de Aplicação de Sanções Administrativas ser aprovado no Conselho Diretor da ANPD, as sanções administrativas permaneçam em suspenso. Ao que tudo indica - e este parece ser o melhor caminho a seguir -, a ANPD deverá atuar mais numa vertente pedagógica, preventiva e responsiva do que de uma forma repressiva, o que faz todo o sentido neste momento inicial da vigência da LGPD. Afinal de contas, muito mais do que punições, o que se espera e se deseja é que a ANPD exerça função primordialmente didática para que a cultura da proteção de dados pessoais no Brasil possa frutificar admiravelmente, atingindo a sua plenitude o mais cedo possível.10

*Cíntia Rosa Pereira de Lima é professora de Direito Civil da Faculdade de Direito da USP Ribeirão Preto - FDRP. Doutora em Direito Civil pela Faculdade de Direito da USP com estágio na Universidade de Ottawa (Canadá) com bolsa CAPES - PDEE - Doutorado Sanduíche e livre-docente em Direito Civil Existencial e Patrimonial pela Faculdade de Direito de Ribeirão Preto (USP). Pós-Doutora em Direito Civil pela Università degli Studi di Camerino (Itália) com fomento FAPESP e CAPES. Líder e Coordenadora dos Grupos de Pesquisa "Tutela Jurídica dos Dados Pessoais dos Usuários da Internet" e "Observatório do Marco Civil da Internet", cadastrados no Diretório de Grupos de Pesquisa do CNPq e do Grupo de Pesquisa "Tech Law" do Instituto de Estudos Avançados (IEA/USP).  Presidente do Instituto Avançado de Proteção de Dados - IAPD. Advogada.

**Newton De Lucca é professor Titular da Faculdade de Direito da Universidade de São Paulo. Professor do Corpo Permanente da Pós-Graduação Stricto Sensu da UNINOVE. Desembargador Federal, Presidente do Tribunal Regional Federal da 3a Região (biênio 2012/2014). Membro da Academia Paulista de Direito. Membro da Academia Paulista de Letras Jurídicas. Membro da Academia Paulista dos Magistrados. Vice-Presidente do Instituto Avançado de Proteção de Dados.

__________

1 DE LUCCA, Newton; MACIEL, Renata Mota. A Lei nº 13.709, de 14 de Agosto de 2018: a Disciplina Normativa que Faltava. In: DE LUCCA, Newton; LIMA, Cíntia Rosa Pereira de; SIMÃO FILHO, Adalberto; MACIEL, Renata Mota. Direito & Internet IV: Sistema de Proteção de Dados Pessoais. São Paulo: Quartier Latin, 2019. pp. 21 - 50.

2 Louve-se, a propósito, o meritório esforço do professor doutor Otávio Luiz Rodrigues Júnior, cuja competente e brilhante atuação no Congresso Nacional foi fundamental para a entrada em vigor da LGPD.

3 Sobre a Autoridade Nacional de Proteção de Dados e os argumentos do veto à criação da ANPD vide: DE LUCCA, Newton; LIMA, Cíntia Rosa Pereira de. Autoridade Nacional de Proteção de Dados Pessoais (ANPD) e Conselho Nacional de Proteção de Dados Pessoais e da Privacidade. In: LIMA, Cíntia Rosa Pereira de. Comentários à Lei Geral de Proteção de Dados. São Paulo: Editora Almedina, 2019. pp. 373 - 398. Sobre a atuação da Autoridade Nacional de Proteção de Dados cf. LIMA, Cíntia Rosa Pereira de. A ANPD e a efetividade da LGPD. São Paulo: Almedina, 2021.

4 LIMA, Cíntia Rosa Pereira de Lima. As funções da Autoridade Nacional de Proteção de Dados e as sanções previstas na LGPD. In: FRANCOSKI, Denise; TASSO, Fernando Antonio (coords). A Lei Geral de Proteção de Dados Pessoais - LGPD no Setor Público e Privado - Temas Relevantes. São Paulo: Revista dos Tribunais, 2021.

5 DI'TANO MORAES, Amanda Melo. Sanções administrativas na LGPD. Disponível aqui, acesso em 05 de agosto de 2021.

6 Homo Deus - Uma breve história do amanhã, São Paulo: Companhia das Letras, 2016, p. 343. Cf. DE LUCCA, Newton. Yuval Noah Harari e sua visão dos dados pessoais de cada um de nós. 02 de junho de 2021.

7 "Os órgãos e as entidades públicas poderão ser punidos com todas as sanções administrativas previstas na LGPD, salvo as sanções pecuniárias. Ademais, a LGPD prevê a possibilidade de responsabilização de agentes públicos, nos termos previstos na lei 8.112, de 11 de dezembro de 1990 (Estatuto do Servidor Público), na Lei nº 8.429, de 2 de junho de 1992 (Lei da Improbidade Administrativa) e na lei 12.527, de 18 de novembro de 2011 (Lei de Acesso à Informação)." Disponível aqui, acesso em 3 de agosto de 2021.

8 PEROLI, Kelvin. A Portaria n. 01/2021 da ANPD e o seu Conselho Diretor: estrutura e funções. Disponível aqui, acesso em 05 de agosto de 2021.

9 Disponível aqui, acesso em 3 de Agosto 2021.

10 LIMA, Cíntia Rosa Pereira de. Autoridade Nacional de Proteção de Dados Pessoais (ANPD): entenda quais são as atribuições da ANPD e como este órgão atuará na fiscalização de implementação da LGPD. Disponível aqui, acesso em 5 de agosto de 2021.