Depois de idas e vindas entre o sancionamento da Lei Geral de Proteção de Dados Pessoais ("LGPD") e decretos decorrentes da pandemia de Covid-19, as penalidades administrativas previstas nos artigos 52 e 54 finalmente entraram em vigor em 1º de agosto.
Quando se trata de proteção de dados, é sempre válido lembrar que o escopo da LGPD se restringe à proteção de dados de pessoas naturais. A adequação à LGPD impacta, porém, os chamados agentes de tratamento, isto é, o controlador, que define a finalidade do tratamento destinado aos dados pessoais, e o operador, que realiza o tratamento de dados de acordo com as ordens do controlador. Os agentes de tratamento não necessariamente serão pessoas jurídicas; podem também ser pessoas físicas que coletam e tratam dados pessoais.
A cultura de proteção de dados é dever de todos, mas cabe especialmente aos agentes de tratamento assegurar que os dados em sua posse serão tratados de acordo com a LGPD. Isso porque, como consequência do descumprimento da LGPD, podem ser impostas tanto condenações judiciais ao pagamento de indenizações como sanções administrativas por órgãos governamentais.
Com a entrada em vigor da maior parte do texto da LGPD, em 18/09/2020, as consequências indenizatórias já vêm sendo observadas nos Tribunais brasileiros. Entidades como o PROCON e o Ministério Público igualmente tomaram medidas baseadas na LGPD no último ano para assegurar a regularidade do tratamento de dados pessoais, inclusive com a imposição de multas. Esse é, aliás, um ponto relevante: o que muda, agora, é especificamente com relação à Autoridade Nacional de Proteção de Dados ("ANPD"), órgão vinculado ao Poder Executivo Federal que tem como prerrogativa principal zelar pela observância da LGPD.
Diferentemente do capítulo que trata da responsabilidade civil e das indenizações, em que a LGPD prevê a responsabilidade do controlador (o operador só responde quando não seguir as orientações do controlador ou a LGPD), não há distinção quanto à responsabilidade administrativa dos agentes de tratamento. De todo modo, é importante ressaltar que não há sanção à pessoa diretamente envolvida nas atividades de tratamento de dados pessoais - esse é um dos aspectos que distinguem a LGPD da minuta da Personal Information Protection Law em discussão na China, por exemplo. A pessoa natural só pode ser sancionada quando atuar como controladora ou operadora individualmente.
Dentre as sanções previstas na LGPD estão: advertência; multa de até 2% do faturamento da empresa, limitada a R$ 50 milhões por infração; multa diária, observado o mesmo limite; publicação da infração; bloqueio ou eliminação dos dados pessoais relativos à infração; suspensão parcial do funcionamento do banco de dados ou até mesmo do exercício da atividade de tratamento; e proibição parcial ou total das atividades relacionadas ao tratamento. A suspensão e a proibição somente podem ser aplicadas se outra penalidade tiver sido imposta anteriormente para o mesmo caso.
A aplicação das penalidades previstas na LGPD dependerá de instauração de procedimento administrativo, em que deverá ser respeitada a ampla defesa. Para a definição da sanção, tem-se como parâmetros, por exemplo, a gravidade e natureza da infração; eventual vantagem auferida ou pretendida pelo infrator, assim como (in)existência de boa-fé; reincidência; grau do dano; adoção de medidas capazes de minimizar os danos, medidas corretivas e políticas de boas práticas e governança.
No intuito de orientar os processos administrativos e a atuação da ANPD, em 28/05/2021, foi publicada no DOU a Norma de Fiscalização da ANPD, que esteve sujeita à consulta pública até 28/06/2021 e ainda deverá sofrer novas alterações, notadamente porque deixou lacunas com relação ao significado e à amplitude de conceitos como a gravidade das infrações. Igualmente pertinente será, nesse sentido, a regulamentação que deve ser elaborada especificamente com relação aos incidentes de segurança, também submetida à consulta pública no início de 2021.
Porém, pouco se sabe, até o momento, sobre como será a atuação da ANPD diante da ocorrência de incidentes. Diante disso, recomenda-se que os agentes de tratamento hajam de forma preventiva, mantenham as medidas de segurança relativas à proteção de dados constantemente registradas e, em caso de incidente de segurança, comuniquem o Encarregado (DPO), para realizar avaliação interna sobre a gravidade do incidente e as medidas a serem tomadas. Ainda, no caso de o incidente preencher os requisitos legais, a ANPD deve ser comunicada.
À primeira vista, todas essas medidas podem parecer custosas e, até mesmo, "uma burocracia a mais". Porém, a adequação à LGPD pode gerar uma vantagem competitiva, especialmente em operações com multinacionais, trazer maior credibilidade perante clientes e parceiros, além de reduzir eventuais prejuízos em caso de incidente de segurança. A exemplo, em relatório publicado pela IBM, apontou-se um prejuízo total médio de 3,86 milhões de dólares com vazamentos de dados no ano de 2020. A perda de negócios decorrente de reputações manchadas e períodos de indisponibilidade dos sistemas internos foi o fator responsável por 40% do prejuízo.
A LGPD não veio apenas para sancionar, e sim para consolidar uma cultura de proteção de dados. O primeiro passo é justamente adaptar culturas internas com práticas voltadas à proteção dos dados e à segurança da informação, adotando ferramentas tecnológicas e treinando colaboradores para tais procedimentos. A adequação à LGPD envolve um olhar para todas as relações, tanto internas, com os colaboradores, quanto externas, com fornecedores, prestadores de serviços e demais parceiros de negócios e, especialmente, com os consumidores.
*Daniele Verza Marcon e Luiza Coelho Guindani, sócias da área de Proteção de Dados de Souto Correa Advogados
