Quem desrespeitar a Lei Geral de Proteção de Dados (Lei 13.709) poderá ser punido. A norma foi aprovada em 2018, teve sua vigência iniciada no ano passado mas só agora, a partir de agosto, as sanções para quem violar os direitos dos titulares de dados e as obrigações para quem coleta e trata registros entram em vigor.
A LGPD lista como possíveis sanções advertência, multa (diária ou com limite de até 2% do faturamento da empresa), bloqueio dos dados pessoais objeto da violação, suspensão parcial do funcionamento do banco de dados e proibição parcial ou total do exercício da atividade relacionada ao tratamento de dados.
A Lei fixa um conjunto de direitos para os titulares de dados, como informar quais dados estão sendo coletados e para quais finalidades, ou não reutilizar os registros coletados para outros propósitos, com algumas exceções. As empresas também têm um conjunto de exigências, como informar uma pessoa em caso de incidente de segurança.
A fiscalização e aplicação das punições fica a cargo da Autoridade Nacional de Proteção de Dados (ANPD), estrutura vinculada à Presidência da República. Mas a execução depende ainda da publicação de um regulamento sobre o tema, que definirá a forma como será feita a fiscalização e os critérios para aplicação das sanções. A ANPD colocou uma proposta em consulta pública entre maio e junho e recebeu mais de 1.800 contribuições.
Segundo a diretora da Autoridade Miriam Wimmer, a proposta de regulamento trouxe uma perspectiva gradual que vai do acompanhamento de possíveis violações até diferentes graus de intervenção por parte do órgão.
“A gente previu determinados procedimentos que devem ser observados, começando de uma etapa de monitoramento das reclamações para identificar os principais problemas, passando por etapas de orientação, prevenção e repressão de infrações, culminando na aplicação de sanções”, explica.
A minuta coloca, por exemplo, os procedimentos para o início, avaliação, decisão e recurso dos processos de sanções. Segundo o documento, a ANPD pode encerrar um processo caso o tratador de dados que cometa a violação se arrependa e demonstre que interrompeu a prática. Outro instrumento é o firmamento de termos de ajustamento de conduta.
A aplicação de multas será objeto de uma norma específica, cuja proposta ainda está em estudo dentro da ANPD. Segundo Wimmer, apenas após a aprovação desse regulamento o uso de multas em punições poderá ser adotado.
A presidente da Comissão de Proteção de Dados e Privacidade da Ordem dos Advogados do Brasil do Rio de Janeiro, Estela Aranha, lembra que os cidadãos que tiverem constatado uma violação em relação aos seus dados podem procurar a empresa ou órgão com a reclamação, que deverá indicar o encarregado de proteção de dados e o responsável pela comunicação com os titulares de dados.
A pessoa também pode recorrer à ANPD. “Para fazer uma reclamação perante a ANPD é necessário primeiro que o titular dos dados faça sua solicitação para o agente de tratamento. Uma vez não atendido, o titular de dados pode apresentar à ANPD petições contendo comprovação da apresentação de reclamação ao controlador não solucionada”, explica.
O canal de reclamações da ANPD foi disponibilizado em um site específico.
Aplicação das sanções
Na avaliação da Associação de Empresas de Tecnologia da Informação e Comunicação (TIC) e de Tecnologias Digitais (Brasscom), em meio à possível atuação de vários órgãos que poderiam aplicar punições, a ANPD deve ser o principal deles a realizar a fiscalização e atividades de prevenção e sanção.
A entidade entende que a Autoridade deve ter um papel indutor com vistas a promover segurança jurídica na atividade de tratamento de dados e buscar estimular confiança social sobre o uso de dados pessoais.
“A autoridade precisa se valer das competências educativas para instruir o que fazer em vez de uma atuação inibidora. Os casos de dano levam depois de processo administrativo e verificado dano que haja de fato a sanção respectiva. Mas antes de se chegar a esse processo sancionador haja escalonamento”, diz o gerente de Relações Governamentais da entidade, Daniel Stivelberg.
Para o diretor da Associação Data Privacy Brasil de Pesquisa, Rafael Zanatta, um problema ainda existente é a ausência de tipificação das infrações (como leves, médias e graves). Também não há clareza ainda sobre elementos que podem atenuar ou agravar uma eventual sanção.
O pesquisador alerta que há um discurso propagado por empresas que visa colocar um pânico com riscos de altas multas e possíveis prejuízos da punição aos negócios, o que não deve ocorrer. Além disso, há pressões do setor privado para aliviar as sanções, vinculando-as a um eventual dano material.
“Defendemos a importância de trazer a centralidade da proteção dos direitos e do tipo de violação na perspectiva dos direitos das pessoas, dos direitos coletivos. A ideia seria identificar um ilícito a partir do grau de lesão aos direitos das pessoas, e não à consequência de dano material”, defende Zanatta.
Bia Barbosa, integrante da Coalizão Direitos na Rede e do Comitê Gestor da Internet no Brasil destaca que a fiscalização e as sanções são fundamentais para que a LGPD seja efetivamente respeitada. Segundo ela, fato da entrada em vigor somente agora, mais de dois anos após a aprovação da Lei, mostra como houve pressão para que essa capacidade de aplicação da lei não seja plenamente utilizada.
A criação da ANPD de forma tardia, no segundo semestre de 2020 também dificultou a implantação da lei, como o fato da entrada das sanções em vigor sem que o regulamento da Autoridade esteja publicado.
A representante da Coalizão tem receio das declarações de integrantes da ANPD de que as sanções devem ser evitadas. “É fundamental que a ANPD trabalhe para uma cultura de proteção de dados pessoais, tanto educativa quanto de que os agentes de tratamento de fato incorporem as determinações na lei para cessar danos contínuos ou mitigar episódios. Muitas vezes, somente a partir de uma sanção mais dura que determinados atores podem adequar seus comportamentos à LGPD”, argumenta Bia Barbosa.