Advogado, bacharel em Direito pela UERJ, jornalista formado na UFRJ e mestre em Direito pela UFJF, com pós-graduação em Direito Social e Direito Bancário.
Em outra oportunidade, abordamos neste espaço algumas das principais mudanças introduzidas pela nova Lei Geral de Proteção de Dados – LGPD (https://rodrigueseseixas.com.br/lei-geral-de-protecao-de-dados-o-que-muda-para-voce-consumidor-fornecedor-ou-trabalhador/). Naquela ocasião, mencionamos que os artigos da nova lei que disciplinam a fiscalização e a aplicação de sanções administrativas entrarão em vigor em agosto de 2021.
Agora, chegou a hora de explicar o que são estas sanções, a quem se aplicam e que as aplicará.
As perguntas são pertinentes: de acordo com a LGPD, a prática de infrações por parte dos agentes de tratamento de dados (controladores, operadores e encarregados) pode ensejar a aplicação de sanções que vão de uma simples advertência até pesadas multas – de até 2% do faturamento da pessoa jurídica, limitada a 50 milhões de reais, por infração -, passando por bloqueio ou eliminação dos dados pessoais e até publicização da infração, isto é, tornar público que o agente de tratamento de dados praticou a dita infração, o que pode ter efeitos negativos do ponto de vista da reputação no mercado.
Ora, se pensarmos que, dentre os agentes de tratamento de dados, poderão estar todos os fornecedores de produtos e serviços, além da própria Administração Pública, veremos que o público-alvo da fiscalização é realmente grande, com potencial para atingir, por exemplo, empresas e empresários de todos os portes, desde que lidem com o tratamento de dados. E esta circunstância é bastante corriqueira, aliás. Basta imaginar, como mencionado no artigo anterior, um universo de escolas, academias, clínicas, prestadores de serviço em geral.
Então, toda atenção é pouca em relação à nova lei. Prejuízos financeiros e de imagem para as empresas passaram a ser um risco palpável no mercado de consumo – logicamente, a partir de agosto de 2021, quando entrarão em vigor os dispositivos da lei que preveem as tais sanções.
O responsável pela aplicação das sanções administrativas passa a ser a Autoridade Nacional de Proteção de Dados (ANPD), um órgão federal vinculado à Presidência da República e que foi criado pela Lei nº 13.853/2019 e regulamentado pelo Decreto Federal nº 10.474/2020. Como se vê, trata-se de um órgão público que terá razoável poder fiscalizador e sancionador.
Alguns problemas, todavia, vêm sendo avistados pelos comentadores autorizados da nova lei. O primeiro deles é a vagueza das expressões relativas às infrações. Por exemplo, um tipo de infração é deixar de comunicar a ocorrência de incidente de segurança capaz de causar risco, ou deixar de comunicá-lo em prazo razoável (art.48 da LGPD); ou deixar de garantir a segurança da informação, mesmo após o seu término (art.47); ou, ainda, não obedecer os padrões técnicos mínimos de segurança (art.46). Pergunta-se, então: o que significa “um incidente de segurança capaz de causar risco”? Ou qual seria o “prazo razoável” para comunicar o incidente? E quais seriam os “padrões mínimos de segurança” ? Todas estas perguntas merecem um detalhamento por parte da ANPD, sob pena de se instaurar um clima de incerteza jurídica em torno da aplicação da nova lei.
Outro problema que tem sido vislumbrado por especialistas é o risco de sobreposição de fiscalizações e de sanções. Assim, uma mesma infração (por exemplo, compartilhamento indevido de informações de clientes de operadoras de telefonia – algo nem tão difícil de ocorrer…) pode ensejar em tese a fiscalização e aplicação de multas concomitantes pela ANPD, pela ANATEL e, ainda, pelo Procon (estadual e municipal) !*
De todo modo, a lei ainda é recente e os agentes econômicos (e públicos, também) com ela terão que se familiarizar. Pelo menos até agosto de 2021.
*Conforme Miriam Wimmer, em Tratado de Proteção de Dados Pessoais.
Quer saber mais? Contacte-nos através dos canais disponibilizados nesta página.
