Por Francisco Gomes
Nos últimos dias a LGPD (Lei Geral de Proteção de Dados) voltou a ser um dos assuntos jurídicos mais comentados. Há dois anos escreve-se sobre a lei, sobre os princípios de proteção dos dados, sobre os direitos dos titulares dos dados pessoais, dentre outros aspectos.
Agora, chegou a hora da lei ser aplicada “pra valer”. As sanções da LGPD começarão a ser aplicadas no mês de agosto pela ANPD (Autoridade Nacional de Proteção de Dados), encarregada de fiscalizar e penalizar àqueles que estiverem descumprindo a legislação.
Como a ANPD foi criada recentemente, ela irá valer-se de seu aparato estrutural (funcionários de vários órgãos, como a ANATEL, que prestarão serviços para a ANPD) e do apoio de outros organismos, sobretudo os órgãos de defesa do consumidor, com quem possui um acordo operacional para que a lei seja efetivamente cumprida.
Pesquisas indicam que, por motivos diversos como as dificuldades econômicas geradas pela pandemia, a maioria das empresas não se encontra adaptada à LGPD. Com isso, o que se espera é que a ANPD atue com racionalidade, difundindo a cultura de proteção de dados, orientando empresas e titulares. A aplicação de sanções levando-se em consideração apenas o aspecto legal, sem observar fatores imprevistos como a pandemia por exemplo, levaria a uma aplicação massiva de penalidades e grandes prejuízos sobretudo a médias e pequenas empresas.
As sanções administrativas previstas na LGPD são: advertência (para casos de menor gravidade e com empresas sem histórico de violações anteriores); multa diária (que será devida enquanto a irregularidade não for sanada e terá seu valor estabelecido pela ANPD); multa simples de até 2% do faturamento da empresa, com limite máximo de R$ 50 milhões.
A lei não prevê a ordem das penalidades, ou seja, não obrigatoriamente a primeira penalidade deva ser de advertência. A ANPD para fixar qual será a penalidade em cada caso certamente levará em consideração a gravidade da infração, o número de usuários afetados, a transparência da empresa para comunicar a irregularidade e as providências para saná-la.
Outro esclarecimento necessário é que, diferente do que muitos alardeiam, não teremos multas de R$ 50 milhões aplicadas indiscriminadamente. Primeiro, porque a multa simples prevista é de 2% do faturamento da empresa, ou seja, por exemplo uma empresa com faturamento anual de um milhão de reais poderá receber uma multa de R$ 20 mil reais e assim por diante.
Além das multas (simples ou diária) outras sanções que podem ser impostas são a obrigatoriedade de dar publicidade à infração comprovada, o bloqueio do tratamento dos dados pessoais pela empresa enquanto as irregularidades não forem resolvidas e ainda, em caso extremo, a obrigação da empresa em eliminar os dados pessoais sob sua responsabilidade.
A cultura digital dá um importante passo com a LGPD, mas será absorvida paulatinamente, como foi com a cultura consumerista nos anos 90. E correções estruturais ainda precisam ser realizadas, como a desvinculação da própria ANPD do Governo Federal. Essa vinculação pode comprometer a independência de atuação ou mesmo criar certa confusão quando órgãos do próprio Governo Federal estiverem sendo investigados por uma entidade vinculada a ele.
Haverá também certa pressão de grupos tradicionalmente punitivistas, que ao menor sinal de qualquer irregularidade irão pleitear que as empresas sejam penalizadas financeiramente. Deverá ocorrer também um aumento de demandas judiciais contra as empresas pleiteando indenizações por supostas violações de dados pessoais.
Enfim, exageros poderão ocorrer sobretudo neste início de período sancionatório, mas a expectativa é que com o tempo tudo se acerte e torne-se parte da preocupação das empresas e dos usuários.
*Francisco Gomes Junior, advogado sócio da OGF Advogados.
