A Autoridade Nacional de Proteção de Dados (ANPD), principal órgão responsável pela aplicação da Lei Geral de Proteção de Dados (LGPD) no Brasil, já pode multar infrações a esta legislação desde o começo de março. Espera-se que finalmente abusos do tipo sejam punidos no Brasil e uma mudança de comportamento aconteça a partir de agora nas empresas.
A ANPD, vinculada ao Ministério da Justiça e Segurança Pública, ganhou o poder de multar empresas e pessoas físicas que burlarem a LGPD por meio da Resolução nº 4, promulgada em 24 de fevereiro. O valor da multa pode chegar a R$ 50 milhões.
Nos casos em que os consumidores tiverem a proteção violada — como nos casos de vazamentos de dados pessoais na internet — os responsáveis poderão ser punidos de diversas formas: desde a suspensão da atividade do tratamento de dados em questão até a aplicação de multas. As companhias podem até perder o direito de operar no país.
A chamada dosimetria — método que orienta a escolha da multa mais apropriada para cada violação à LGPD — era o último passo que faltava para responsabilizar infratores. Agora, o que muda agora é a certeza das consequências, segundo disseram especialistas a Byte.
As regras e critérios, que tiveram como relator o diretor Arthur Sabbat, foram aprovadas por unanimidade pelo conselho-diretor da ANPD. Agora, as empresas que cometerem infrações devem ser multadas de acordo com a gravidade e a natureza da ação, além da avaliação dos direitos pessoais dos afetados.
Byte procurou a Autoridade Nacional de Proteção de Dados (ANPD) para saber dos primeiros planos do órgão para multar pessoas e empresas que cometeram abusos à LGPD desde a sua vigência, mas não houve resposta até a publicação desta reportagem.
Tratar mal os dados compensa?
A advogada Camila Studart, especialista em direito digital e chefe de tecnologia da consultoria DataLegal, acredita que algumas empresas podem achar que pagar multas da LGPD compensa, se comparado ao lucro vindo do tratamento ilícito de dados. No entanto, essa ilegalidade colocará em risco toda a operação do negócio.
“Dentre as sanções está a proibição total do exercício de atividades relacionadas a tratamento de dados, o que dependendo do core business significará a falência”, afirmou.
Segundo ela, “é agora que a Lei efetivamente começará a alcançar seus objetivos, já que no Brasil é difícil que alguém mude uma cultura só porque é bom, correto ou legal (juridicamente falando)”.
Para Afonso Morais, chefe do escritório de advocacia Morais e especialista em direito digital, essa é uma esperança que surge em relação ao tema, já que a lei está em vigor desde setembro de 2020 e 80% das empresas no Brasil ainda não se adequaram a ela.
"Apesar das infrações já terem sido estabelecidas, era necessária essa norma para a aplicação das sanções e dar andamento nos processos de fiscalização", disse.
A Justiça chegou a decidir sobre alguns casos com base na LGPD, mas, até agora, as decisões que envolveram pagamento de indenização foram minoria.
O consumidor deve sentir?
Seja uma farmácia que pergunta seu CPF em troca de descontos ou um cadastro de loja que pede informações pessoais, essas empresas precisarão cuidar muito mais dos dados do público. Do contrário, podem responder legalmente por qualquer vazamento ou compartilhamento indevido.
Além disso, precisam deixar claro o motivo do pedido dos dados e a maneira como eles serão usados.
Segundo Studart, o comportamento das empresas no mercado brasileiro costuma ser reativo. Ou seja, a aplicação das sanções trará um novo estímulo.
Para ela, um exemplo clássico disso é o uso do cinto de segurança: ninguém passou a usar porque poderia salvar sua vida, mas por causa da multa. Ainda assim, ela acredita que a medida pode trazer mais segurança ao consumidor.
"Quanto mais os tratadores cumprirem suas obrigações legais, mais seguros estão os dados fornecidos por todos nós", afirma.
Também é bastante provável que as empresas ainda displicentes na sua governança de dados agora “corram” para se adequar à LGPD.
"Espera-se que progressivamente seja transmitida uma maior sensação de segurança para o consumidor, tendo em vista que as empresas vão começar a 'arrumar a casa' com relação à proteção de dados pessoais", disseram Júlia Mendonça, Pedro Santos e Pedro Bastos, analistas da organização de defesa à proteção de dados Data Privacy Brasil, em texto coletivo a Byte.
E como serão multadas?
A resolução classifica as infrações como leves, médias ou graves. As multas serão aplicadas depois de uma análise feita em processo administrativo caso a caso, para determinar a gravidade do fato.
"Esse processo deverá dar a oportunidade de ampla defesa, de acordo com as peculiaridades do caso concreto e conforme os critérios da resolução", disse Morais.
Por exemplo, uma multa simples pode chegar até 2% do faturamento da empresa, com o limite total de R$ 50 milhões. Outras punições podem chegar à proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados, por exemplo.
Ao decidir sobre uma infração à LGPD, a ANPD vai levar em consideração:
A) questões que afetam os donos dos dados pessoais; por exemplo, se o problema impedir ou limitar direitos ou o uso de um serviço;
B) questões que causarem às vítimas da infração danos materiais ou morais, violação à integridade física — ou seja, atos de violência — problemas de direito à imagem e à reputação, fraudes financeiras ou uso indevido de identidade;
C) se houver obstrução à fiscalização ou se a empresa já tiver cometido antes uma infração considerada média.
Para as empresas que infringerem o regulamento mais de uma vez, haverá multas para reincidência.
De acordo com os especialistas da Data Privacy Brasil, há ainda a reincidência genérica. Ela ocorre quando uma pessoa ou empresa comete outra infração dentro de um período de cinco anos após ter confirmada uma sanção pela ANPD.
Outro agravante é a reincidência específica, similar à genérica, mas que acontece quando há infração a um mesmo dispositivo legal em um período de cinco anos após a confirmação da primeira sanção.
"Em ambos os casos, o infrator reincidente pode sofrer aumento no valor de multas e aplicação de sanções alternativas mais graves", disseram.
Na reincidência genérica, a multa pode ser aumentada em até 20%. Nos casos de reincidência específica, esse percentual pode chegar a 40% de aumento no valor da pena.
Studart afirma que, embora já existam critérios claros, "certamente é uma construção [a aplicação de multas], como é o Direito em relação à sociedade. E ainda avançaremos muito", avaliou.
Para onde vai o dinheiro?
O dinheiro das multas da ANPD será usado para tentar reparar os danos causados ao consumidor e outros problemas sociais.
Os valores serão destinados ao Fundo de Defesa de Direitos Difusos. Seu objetivo é a reparação dos danos causados ao ambiente, ao consumidor, a bens e direitos de valor artístico, estético, histórico, turístico, paisagístico, por infração à ordem econômica e a outros interesses difusos e coletivos.