A Lei Geral de Proteção de Dados (LGPD) foi publicada no dia 15 de agosto de 2018, mas, somente depois de longas discussões na Câmara dos Deputados e no Senado, entrou em vigor em 18 de setembro de 2020. Após ser sancionada, foi publicada no Diário Oficial, consolidando a sua vigência a partir de então. No entanto, ainda pairam muitas dúvidas sobre as consequências práticas da LGPD para a sociedade civil visto que somente os seus princípios e valores normativos entraram em vigor, enquanto a Autoridade Nacional de Proteção de Dados (ANPD), órgão responsável pela fiscalização e cumprimento da Lei, ainda está em fase de estruturação.
Em 2018, a MP nº 869/2018 – posteriormente convertida pelo Congresso na Lei 13.853/2019 – determinou a instalação da ANPD e seus aspectos estruturais. Contudo, as nomeações para a Diretoria do órgão foram feitas apenas no final de 2020, e alguns cargos do quadro técnico seguem em vacância. Isso resultou no atraso da execução das funções da Autoridade, dentre elas a aplicação de sanções nos casos de violação dos dados pessoais, conforme o art. 55-J, inciso IV da Lei.
Art. 55 – J. Compete à ANPD:IV – fiscalizar e aplicar sanções em caso de tratamento de dados realizado em descumprimento à legislação, mediante processo administrativo que assegure o contraditório, a ampla defesa e o direito de recurso;
Evidente que organizações que fazem uso de tratamento de dados para exercer a sua atividade podem se orientar tanto pelos princípios quanto pelas bases legais da LGPD; porém, devido a obscuridade do texto legislativo, algumas operações ensejam o apoio do órgão fiscalizador para preservar a segurança jurídica em casos específicos. Exemplo disso é a anonimização de dados sensíveis, ou seja, tratar um dado relacionado à orientação sexual, etnia, convicção religiosa e política de modo que o seu titular não seja mais identificado. O artigo 12 da lei esclarece que a ANPD poderá dispor sobre padrões e técnicas de anonimização, todavia, ainda não houve nenhuma orientação nesse sentido. Nesse caso, a empresa que desejar se arriscar nesse ramo deverá contar com uma extensa equipe técnica, não só na área de tecnologia mas também jurídica, para garantir que o procedimento seja extremamente cauteloso a fim de evitar o descompasso com a lei e futuras penalidades. Essa, entre outras questões, ainda são nebulosas para aqueles que lidam com o tratamento de dados, o que gera uma insegurança sobre como será realizada a fiscalização pela ANPD, especialmente para as organizações que já trabalhavam com dados pessoais antes da atuação do órgão.
No Dia Internacional da Privacidade de Dados, em 28 de janeiro, a Autoridade deu um grande passo rumo ao avanço da proteção de dados ao ter a sua agenda regulatória divulgada pela Portaria 11 de 2021, que trouxe em sua redação alguns esclarecimentos sobre a fiscalização da LGPD. O que se sabe até agora é que antes do fim do primeiro semestre deste ano, a ANPD deve estabelecer quais são as circunstâncias que implicarão a aplicação de sanções administrativas. Pouco tempo depois, no dia 8 de março, foi divulgada a Portaria 1 de 2021, que imputou à ANPD a determinação das metodologias que irão orientar a base de cálculo para precificação das multas, conforme o inciso XIX do art. 17:
Art. 17. São competências da Coordenação-Geral de Fiscalização, sem prejuízo de outras previstas na Lei nº 13.709, de 2018, no Decreto nº 10.474, de 2020, e na legislação aplicável:XIX – fornecer subsídios à Coordenação-Geral de Normatização para a definição das metodologias que orientarão o cálculo do valor-base das sanções de multa previstas na Lei nº 13.709, de 2018, assim como para a elaboração de outras normas e instrumentos relacionados às atividades de fiscalização e de sancionamento.
A execução das sanções serão realizadas somente a partir de 1 de agosto de 2021, o que não significa que a inobservância dos comandos da LGPD até lá não acarretará consequências. Evidente que a ANPD receberá as denúncias de titulares de dados relativas às infrações da LGPD; mas caberá também ao poder judiciário, o Ministério Público e os órgãos de proteção e defesa do consumidor garantir que a lei seja cumprida e aplicar multas que não estejam previstas na LGPD, mas em outras leis, como o Código de Defesa do Consumidor, o Marco Civil da Internet e o Código Civil.
Enquanto a ANPD não atue concretamente conforme a sua agenda, caberá ao Tribunal de Contas da União (TCU) concretizar a LGPD. No primeiro trimestre deste ano, o TCU conduzirá uma auditoria para analisar a adequação das organizações à lei através do método Control Self-Assessment, que consiste num questionário eletrônico direcionado aos gestores da organização que deverão preenchê-lo de acordo de maneira honesta sobre a adequação das respectivas organizações à Lei. Nesse caso, o TCU tem uma atuação mais consultiva que fiscalizadora.
De maneira geral, não há uma fiscalização a priori dos órgãos públicos de forma a acompanhar a aplicação da LGPD durante esta fase inicial visando, por exemplo, evitar possíveis vazamentos de dados. Ou seja, por ora, existe apenas uma fiscalização a posteriori do evento de modo que depois da violação dos dados, os titulares dos dados que se sentirem lesionados devem recorrer aos tribunais, tornando-os o maior meio de fiscalização do cumprimento da lei no país. Sendo assim, observa-se que as sanções aplicadas até o momento para determinados casos foram definidas por meio judicial de modo que o próprio portal da ANPD possui uma relação de multas para cada conduta, de acordo com as decisões dos tribunais.
Uma das demandas usualmente levadas aos tribunais é a coleta de dados dos usuários sem as suas respectivas autorizações. O Tribunal Regional Federal da 3º Região determinou em uma causa movida contra uma empresa de software que coletava dados de seus usuários automaticamente, que “qualquer coleta de qualquer dado pessoal dos usuários/consumidores somente se dê, com expressa e prévia autorização destes, observando-se o art. 6º, do Código de Defesa do Consumidor, inclusive com alertas específicos, no momento da opção, acerca das consequências de tal autorização, que deverá se dar para cada tipo de dado ou informação pessoal que será coletado, do que ela implica, quanto a acesso de dados e violação da intimidade e vida privada” além de fixar a indenização no valor de R$2.500.000,00.
O Tribunal de Justiça de São Paulo também condenou uma empresa pelo compartilhamento de dados de usuários com outros fornecedores de serviços, sem o consentimento dos titulares, tendo em vista o desrespeito ao inciso I do art. 2 da LGPD. Nesse caso, a empresa indenizou o titular dos dados em R $1.000,00.
A transferência de dados pessoais também gera grandes repercussões, já que pode culminar na responsabilidade solidária entre a empresa que detém os dados e as que os receberam, conforme o comando dos arts. 7º, parágrafo único, e 25, I, CDC. Esse foi o entendimento do Tribunal de Justiça de São Paulo ao condenar uma empresa pela transferência dos dados de seu cliente com empresas alheias à relação contratual, o que lhe rendeu uma indenização de R$10.000,00.
Além das punições exercidas pelos órgãos públicos supracitados, os dispositivos da Lei Nº 12.965 – Marco Civil da Internet – continuam sendo o norte para a aplicação de sanções por violação de dados pessoais em ambiente online, pelo menos até que a ANPD defina as sanções específicas da LGPD. O artigo 12 da seção II determina as seguintes sanções:I – advertência, com indicação de prazo para adoção de medidas corretivas;II – multa de até 10% (dez por cento) do faturamento do grupo econômico no Brasil no seu último exercício, excluídos os tributos, considerados a condição econômica do infrator e o princípio da proporcionalidade entre a gravidade da falta e a intensidade da sanção;III – suspensão temporária das atividades que envolvam tratamento de dados; ouIV – proibição de exercício das atividades que envolvam tratamento de dados.
Após 2 anos da publicação do Marco Civil da Internet, o decreto 8.771/16 regulamentou a lei e trouxe no artigo 20 a seguinte previsão:
Art. 20. Os órgãos e as entidades da administração pública federal com competências específicas quanto aos assuntos relacionados a este Decreto atuarão de forma colaborativa, consideradas as diretrizes do CGIbr, e deverão zelar pelo cumprimento da legislação brasileira, inclusive quanto à aplicação das sanções cabíveis, mesmo que as atividades sejam realizadas por pessoa jurídica sediada no exterior, nos termos do art. 11 da Lei nº 12.965, de 2014 .
O referido dispositivo pode fundamentar eventuais penalidades aplicadas pela ANPD, já que, segundo o próprio Decreto, seria um órgão da administração pública federal e com competências específicas relacionadas à proteção de dados.
Em resumo: fique atento! Ainda que a ANPD seja o órgão regulador da LGPD, a lei não se encontra desamparada em território nacional, contando com diversos órgãos da administração pública para a sua concretização. Zelar pela proteção de dados é um direito dos titulares e, consequentemente, dever das organizações que optarem pelo tratamento. Além dos eventuais prejuízos decorrentes das sanções administrativas, há o pior deles: a desvalorização e descrédito da organização perante o seu consumidor.
Autora: Geovanna Sales
Revisora: Giulia Smith
* O conteúdo deste artigo possui caráter genérico e estritamente informativo. O presente artigo não deve ser interpretado como opinião legal ou aconselhamento jurídico específico da SanFran Jr. Para eventuais dúvidas, entre em contato com um advogado ou Empresa Júnior jurídica.
