Vamos falar sobre sanções na LGPD?
Gisele Kauer, Advogada em proteção de dados/senior data protection analyst no Banco Safra
Para quem já conhece a minha participação aqui na Infra News Telecom, seja bem-vindo (a) a mais um LGPD – Lei Geral de Proteção de Dados sem “juridiquês”. Mas, caso você seja novo (a) por aqui, minha proposta é apresentar os principais pontos da LGPD da forma mais descomplicada possível, com um pouco de bom humor e acessível para todos (não apenas para o pessoal do jurídico).
Nesta edição, vamos falar do ponto que fez da lei uma preocupação para tantas empresas darem atenção à proteção de dados pessoais como nunca antes: AS SANÇÕES.
A LGPD traz, no art. 52, um rol de sanções que serão aplicadas pela Autoridade Nacional em hipótese de infração às normas previstas na lei.
É interessante compreender que as sanções se aplicam à infração a qualquer norma prevista na LGPD. Isso quer dizer que se atentar aos princípios é tão relevante quanto observar dispositivos de caráter mais pragmático/objetivo.
Vamos às sanções
A primeira penalidade trazida pela lei é a ADVERTÊNCIA, considerada a mais branda entre o rol de sanções administrativas. Ainda que pareça inofensiva, é importante destacar que a advertência vem acompanhada da indicação de prazo para a adoção de medidas corretivas. A não adoção de medidas no prazo indicado pode configurar nova infração e ensejar numa sanção mais rígida para a empresa.
A segunda sanção à qual a lei se refere é a MULTA SIMPLES. O valor da multa pode chegar em até 2% do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos – mas é limitada ao total de R$ 50 milhões por infração.
Devemos nos atentar ao “por infração”: ainda não há certeza se a Autoridade irá considerar como uma única infração, mas podemos pensar em infração como cada incidente ou cada dispositivo violado da lei em um único incidente (há ainda aqueles que arriscam mais alto e entendem que poderia ser, inclusive, o valor pago por cada dado vazado, por exemplo – ainda que pareça improvável, não é impossível).
Além da multa simples, o art. 52 traz uma outra modalidade de multa: a MULTA DIÁRIA, observando o mesmo limite colocado na multa simples. Essa possibilidade assusta, considerando que, mesmo com esse teto, a possibilidade de aplicação de multa diária pode significar um prejuízo considerável para o infrator – podendo, de fato, atingir de forma significante o faturamento até mesmo de empresas que talvez R$ 50 milhões, por si só, não represente um grande impacto econômico.
Ainda que as multas ganhem o highlight entre as infrações, é importante considerarmos que os danos indiretos podem ser maiores do que os danos diretos: perda de valor da marca, impactos na confiança dos clientes e investidores, desvalorização de ativos e perda de contratos são só alguns destes. Por isso, a PUBLICIZAÇÃO talvez traga maior impacto que a multa, dependendo da natureza da infração e do ramo do negócio. Ela está entre as sanções dispostas no art. 52, e só pode ser aplicada após a devida apuração do caso e confirmação da ocorrência.
Por último, temos outras duas formas de sanções que impactam o negócio também de forma indireta e podem significar uma paralisação parcial de operação e perda de ativo: o BLOQUEIO dos dados pessoais referentes à infração (até a devida regularização) e a ELIMINAÇÃO dos dados pessoais referentes à infração.
Todas as sanções mencionadas somente serão aplicadas após procedimento administrativo que assegure a ampla defesa do acusado. Serão consideradas peculiaridades do caso concreto e a lei traz alguns parâmetros e critérios para a avaliação daquilo que será aplicado, como:
- A GRAVIDADE e a NATUREZA das infrações e dos direitos pessoais afetados.
- A BOA-FÉ do infrator.
- A VANTAGEM AUFERIDA ou pretendida pelo infrator.
- A CONDIÇÃO ECONÔMICA do infrator.
- A REINCIDÊNCIA.
- O GRAU DO DANO.
- A COOPERAÇÃO DO INFRATOR.
- A ADOÇÃO REITERADA E DEMONSTRADA DE MECANISMOS E PROCEDIMENTOS INTERNOS capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados, em consonância com o disposto na própria LGPD.
- A adoção de POLÍTICA DE BOAS PRÁTICAS E GOVERNANÇA.
- A pronta adoção de MEDIDAS CORRETIVAS.
- A PROPORCIONALIDADE entre a gravidade da falta e a intensidade da sanção.
Bom, por hoje é isso! Espero ter esclarecido um pouco sobre esse ponto que tanto preocupa na nossa Lei Geral de Proteção de Dados – e, é claro, que eu tenha conseguido passar a ideia de que, ainda que as multas tragam a perda financeira direta, as demais infrações geram danos indiretos que podem ser tão graves quanto as multas ou até representarem perdas financeiras maiores em longo prazo.
Agradeço a todos que estão acompanhando os meus artigos, e até o próximo mês.
Advogada em proteção de dados/senior data protection analyst no Banco Safra. Graduada em Direito pela Faculdade de Direito de São Bernardo do Campo (FDSBC) e certificada em Financial Markets pela Yale University. Palestrante convidada na EACH-USP e na FDSBC. ISO/IEC 27001 (Information Security) certified. Coautora do capítulo “Regulation of Personal Data Processing” na International Encyclopaedia of Laws (IEL) for Cyber Law. Professora na Associação Brasileira de Propriedade Intelectual (ABPI) e na Privacy Academy.