A Lei Geral de Proteção de Dados Pessoais (Lei 13.709/18), já promulgada, possui como escopo estabelecer parâmetros e limites para uso legal e adequado dos dados pessoais, protegendo assim o cidadão e as próprias empresas pelo nível de segurança da informação exigido pela lei.
As empresas que não utilizem estes dados pessoais de maneira adequada, protegida e controlada, que estão sob sua custódia autorizada pelo próprio cidadão, podem deparar-se com penalidades e pedidos de indenização, como já vem ocorrendo.
Com o advento da LGPD, a pessoa física, denominada pela lei de "titular de dados pessoais", possui um amplo leque de direitos em relação aos fluxos de seus dados pessoais nas empresas, dos quais, ser informada sobre a maneira como estes são empregados, com qual finalidade, como são armazenados e como são protegidos.
Por sua vez, as empresas precisam gerenciar o "consentimento" para executar tais ações, emitido pelo próprio titular. Devem saber determinar de que maneira ela recebe estes dados, os trata, como os armazena, utiliza e transmite para saber responder à eventuais solicitações realizadas pela Autoridade Nacional de Proteção de Dados (ANPD) ou ao próprio titular.
Em suma, esta exigência obriga ser necessária uma verdadeira "gestão do consentimento" que permita desenvolvê-lo, documentá-lo, comprová-lo e atualizá-lo periodicamente e de acordo com as opções personalizadas feitas pelo titular.
Na data de 10 de junho de 2020, foi sancionado o Projeto de Lei nº. 1.179/2020, agora a Lei nº. 14.010/2020, confirmando a vigência dos artigos 52, 53 e 54 da Lei Geral de Proteção de Dados Pessoais (LGPD) para 1º de agosto de 2021, nosso maior foco de preocupação.
Esses artigos preveem, justamente, as sanções administrativas que a Autoridade Nacional de Proteção de Dados (ANPD) poderá aplicar aos agentes de tratamento de dados (controlador e operador), em razão de violações à LGPD, ou seja, entrarão em vigor as sanções concernentes às transgressões à norma.
As sanções administrativas serão cabíveis às pessoas físicas e jurídicas que estiverem em desacordo com os preceitos da lei.
Estas sanções poderão variar entre a advertência, a multa simples ou diária e, ainda, a suspensão e a proibição do tratamento de dados pelos infratores, de acordo com os incisos I a XII, do artigo 52 e somente serão aplicadas após o procedimento administrativo que possibilite a oportunidade da ampla defesa, como estabelecido no estado de direito, de forma gradativa, isolada ou cumulativa, de acordo com as peculiaridades do caso concreto e considerados os parâmetros e critérios definidos na lei.
Será levada em consideração a gravidade e a natureza das infrações e dos direitos pessoais afetados, a boa-fé do infrator demonstrado através de provas materiais de prevenção de proteção de dados e segurança da informação, a vantagem auferida ou pretendida pelo infrator, sua condição econômica, reincidência e grau do dano, quando da aplicação da penalidade.
Para os casos simples de advertência, será sempre acompanhada da indicação de um prazo para adoção de medidas corretivas.
A multa simples poderá ser de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, e limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração, sendo que a multa diária será o limite total a que se refere a multa simples.
Podem existir outras consequências da aplicação de uma sanção por infração administrativa, como a obrigatoriedade da publicação da infração, o bloqueio dos dados pessoais a que se refere a infração até a sua regularização, a eliminação dos dados pessoais, a suspensão temporária e parcial do funcionamento do banco de dados, a suspensão do exercício da atividade de tratamento dos dados por tempo determinado e a possível proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
Ressaltamos que devemos identificar, nestes casos de transgressão, os sujeitos envolvidos naquela infração, diferenciando o agente interno do externo.
O agente interno é aquele que possui o acesso aos dados por seu posicionamento natural de controlador, operador ou encarregado e o externo deverá ser estranho à relação de tratamento de dados, citando como exemplo, um hacker.
A LGPD abrange somente a atuação dos agentes internos, pois a atuação dos agentes externos será tipificada sob ótica do Código Penal Brasileiro e eventuais leis específicas. Frisamos que suas sanções não substituem a aplicação de sanções administrativas, civis ou penais definidas na Lei nº 8.078, de 11 de setembro de 1990, e em legislação específica.
O operador e o controlador de dados podem, eventualmente e dependendo do caso e citando como exemplo, serem indiciados como autores do crime de falsa identidade. Todas as sanções previstas na lei geral de proteção de dados podem ser aplicadas às entidades e aos órgãos públicos, sem prejuízo do disposto na Lei nº 8.112, de 11 de dezembro de 1990, na Lei nº 8.429, de 2 de junho de 1992, e na Lei nº 12.527, de 18 de novembro de 2011.
Portanto, recomendamos que os agentes de controle, operação e tratamento, de todo matiz, devem imediatamente adotar medidas de segurança da informação, lógicas, físicas, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.
Todas estas medidas citadas possuem tempos respectivos para sua devida criação, adaptação, implementação e maturação, segundo as boas práticas de mercado e sua própria previsão orçamentária nas empresas, que deverão formalizar seu início para tentar atingir o compliance da lei em tempo adequado.
Não se deve aguardar a vigência das sanções administrativas da LGPD para se adequar totalmente à norma de proteção aos dados.
*Bruno Aghazarm, consultor das áreas de segurança de dados e LGPD do Henneberg, Pereira e Linard Advogados. Pós-graduado e especialista em Direito Digital. Graduado em Engenharia Eletrônica e Direito
