Os artigos 52, 53 e 54 da LGPD, que dispõem sobre quais, como e quando as possíveis sanções administrativas impostas pela Autoridade Nacional de Proteção de Dados devem ser aplicadas, entraram em vigor este mês, em 01 de agosto.

A LGPD está em vigor desde 18 de setembro de 2020 e, desde então, muito vem se falando em implementação de projeto de adequação à LGPD, Relatório de Impacto e Risco, segurança da informação dentre outros assuntos relacionados ao compliance à LGPD. Inclusive, muitas empresas já estão com seus projetos de adequação em fase final de implementação ou concluídos.

No entanto, as empresas que ainda não se adequaram à LGPD, devem estar um pouco mais preocupadas com as penalidades que entraram em vigor neste mês de agosto. E o que muda com a entrada em vigor das sanções administrativas LGPD? Será que somente agora a lei irá "pegar"? Muitos se perguntam. A resposta é não. Desde que a LGPD entrou em vigor, ano passado, muitos incidentes de dados foram investigados, empresas processadas por meio de ações individuais e coletivas e multas foram aplicadas devido a incidentes de vazamento de dados.

Para exemplificar, basta citar a atuação do Procon junto ao caso Serasa Experian. Ao atuar neste caso, devido a notícia de incidente de vazamento de dados como nome, CPF, fotografia, salário, renda, nível de escolaridade, estado civil, score de crédito, endereço, de mais de 220 milhões de brasileiros das bases de dados da Serasa, o Procon não somente pediu explicações à Serasa (que apresentou um parecer técnico a respeito) sobre o incidente, como também acionou a Delegacia Geral de Polícia Civil do Estado de São Paulo para apuração de investigação do vazamento e esclareceu que o Código de Defesa do Consumidor (CDC) prevê a aplicação de multa nestes casos.

Além da atuação de órgãos como Procon e MP, há inúmeras ações judiciais, individuais e coletivas, nas quais titulares de dados reivindicam os direitos descritos no Art. 17 e seguintes da LGPD. Segundo o Diretor do Instituto de Tecnologia e Sociedade do Rio (ITS-Rio), o professor doutor Carlos Affonso Souza, mais de 600 ações judiciais estão em curso até o presente momento.

Porém, com a vigência dos artigos 52 e seguintes, a Autoridade Nacional de Proteção de Dados inicia um novo ciclo de trabalho envolvendo a fiscalização, apuração e investigação de incidentes envolvendo dados pessoais, por meio de processos administrativos, podendo culminar na aplicação das seguintes sanções:

"I - advertência, com indicação de prazo para adoção de medidas corretivas;

II - multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;

III - multa diária, observado o limite total a que se refere o inciso II;

IV - publicização da infração após devidamente apurada e confirmada a sua ocorrência;

V - bloqueio dos dados pessoais a que se refere a infração até a sua regularização;

VI - eliminação dos dados pessoais a que se refere a infração;

(...)

X - suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;

XI - suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período;

XII - proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados."

É de extrema importância observar que o § 1º do artigo 52 explica que as sanções somente serão aplicadas por meio de processo administrativo, o que possibilitará ampla defesa às partes requeridas no processo; e podem ser aplicadas de forma isolada, gradativa ou cumulativa. Notar que as sanções podem ser aplicadas de forma cumulativa, por exemplo, é importante para dimensionar o risco quando da confecção de relatórios de impacto e risco.

Neste sentido, é interessante ler atentamente todos os dispositivos do Art. 52, pois não somente elencam as sanções, como também explicam como serão aplicadas e os parâmetros e critérios para aplicação das referidas penalidades, listados nos incisos I ao XI do §1º, vejamos:

"§ 1º As sanções serão aplicadas após procedimento administrativo que possibilite a oportunidade da ampla defesa, de forma gradativa, isolada ou cumulativa, de acordo com as peculiaridades do caso concreto e considerados os seguintes parâmetros e critérios:

I - a gravidade e a natureza das infrações e dos direitos pessoais afetados;

II - a boa-fé do infrator;

III - a vantagem auferida ou pretendida pelo infrator;

IV - a condição econômica do infrator;

V - a reincidência;

VI - o grau do dano;

VII - a cooperação do infrator;

VIII - a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados, em consonância com o disposto no inciso II do § 2º do art. 48 desta Lei;

IX - a adoção de política de boas práticas e governança;

X - a pronta adoção de medidas corretivas; e

XI - a proporcionalidade entre a gravidade da falta e a intensidade da sanção."

Para confirmar o caráter cumulativo das mencionadas sanções com outras penalidades, é interessante chamar a atenção para o §2º do Art. 52, pois este informa, ainda, que a aplicação destas sanções não exclui a possibilidade da incidência de penalidades e sanções previstas pelo CDC e legislações específicas.

Neste sentido, o §6º do art. 52, também confirma a questão da cumulatividade ao estipular duas condições para a aplicação das suspensões e proibições de tratamento previstas nos incisos X ao XII do Art. 52: a primeira é que já tenha sido aplicada alguma das sanções dos incisos II ao VI (multa; publicização; bloqueio; e eliminação dos dados pessoais) e, caso as empresas investigadas sejam submetidos a outros órgãos e entidades com competências sancionatórias, que estes órgãos sejam ouvidos, como, por exemplo, empresas de telecomunicação reguladas pela ANATEL (Agência Nacional de Telecomunicações).

Após verificar os tantos tipos de sanções que podem ser aplicadas, a que mais salta aos olhos e vem sido comentada pelo público em geral é a multa de até R$50.000.000,00. Porém, a multa não é a única sanção sobre a qual as empresas controladoras de dados devem se preocupar. A publicização do incidente pode ser bastante prejudicial à imagem da empresa frente ao público consumidor e causar prejuízos consideráveis, uma vez que culturalmente há uma crescente valorização à proteção de dados pessoais e privacidade.

Contudo, sendo a multa ainda a principal preocupação de todos, note que o Regulamento que determina a metodologia e critérios para o cálculo do valor-base das multas foi objeto recentemente de consulta pública e está sujeito a alterações, mas a minuta da Resolução já pode ser acessada neste link.