A Lei Geral de Proteção de Dados (LGPD), sancionada em agosto de 2018, entra em vigência completa a partir do próximo domingo, 1.º de agosto: de agora em diante, órgãos do governo poderão advertir empresas e aplicar multas caso estas desrespeitem as normas previstas na legislação. Além das advertências, as penalidades podem chegar a 2% do faturamento das companhias, com limite de R$ 50 milhões — especialistas, porém, afirmam que as mudanças não acontecerão do dia para a noite.
Os parâmetros gerais para aplicação das multas constam nos artigos 52, 53 e 54 da LGPD. Os critérios poderão ser utilizados contra “agentes de tratamento de dados” (ou seja, qualquer companhia ou órgão público que armazene e manipule informações digitais de cidadãos) que desrespeitarem a legislação nacional, que estava em vigor desde 2020 em período de adaptação até então.
As penalidades poderão ser aplicadas pela Autoridade Nacional de Proteção de Dados (ANPD), entidade criada pela LGPD para regular e fiscalizar o assunto no País, pelos órgãos de defesa do consumidor (como o Procon) e também pela Justiça brasileira. Cidadãos poderão fazer denúncias em casos de desrespeito ao tratamento de dados, permitindo que a situação seja apurada.
Comprovadas as infrações, autoridades poderão aplicar advertências. Na “bronca”, a ANPD pode indicar um prazo para que seja corrigida a falha que permitiu o vazamento, por exemplo. Também é possível bloquear os dados pessoais de quem foi atingido, assim como impedir que a companhia acesse parcialmente o banco de dados por até seis meses no máximo (prorrogável por igual período) — dando tempo para que seja consertado o erro.
O bolso das companhias também pode ser alvo de penalidades, se assim decidirem as autoridades. Além da multa simples, aplicada em uma única vez, há a opção de multa diária, também sob o teto de R$ 50 milhões, que pode ser realizada até que a empresa corrija a falha.
Critérios
A LGPD sinaliza alguns critérios a serem seguidos para definir qual sanção aplicar em cada caso. Entre os parâmetros citados, estão a gravidade e a natureza das infrações e dos direitos pessoais afetados, a condição econômica do infrator, a cooperação do infrator, a reincidência e a adoção de política de boas práticas e governança.
Porém, especialistas afirmam que serão necessárias regras mais claras para definir o que é uma advertência, multa ou suspensão temporária de banco de dados — as autoridades, conforme a LGPD prevê, ainda não definiram as diretrizes futuras de como será feita a fiscalização.
“Em algum momento, a ANPD terá de redigir um documento com a metodologia para as sanções”, explica o professor Danilo Doneda, do Instituto Brasiliense de Direito Público. “Critérios, parâmetros e procedimentos vão ter de vir a público, até para esclarecer como será feita a fiscalização e penalidade de cada incidente. Isso deverá ser explicado previamente antes de aplicar as sanções.”
A ANPD já indicou que não pretende fazer uma “indústria de multas” e que planeja trabalhar junto às empresas para formar uma cultura de dados no País. “Queremos que o titular de dados (o cidadão) entenda seus direitos, que as pequenas e grandes empresas possam adequar suas estruturas”, afirmou o presidente da Autoridade, o coronel Waldemar Gonçalves, em evento promovido pela Federação Brasileira de Bancos (Febraban) em junho. “Não vamos gerar quebradeira de empresas nem a ideia coercitiva de repressão.” Procurada pela reportagem, a ANPD não respondeu a pedidos de comentário.
Para a advogada Flávia Lefrève, especializada em direito digital, a ANPD ainda tem estrutura enxuta para cuidar dos problemas e dimensões de um País de mais de 200 milhões de habitantes. Sem diretrizes e com o principal órgão ainda incipiente, o cenário fica turvo para que terceiros possam agir na Justiça.
“Diante desse vácuo regulatório, vão começar a ter as ações na Justiça com interpretações diferentes no Judiciário, sendo que o ideal é que todos esses organismos estivessem sob uma base regulatória coerente, até para dar segurança jurídica”, explica Flávia.
Os especialistas acrescentam que o início das multas não será uma mudança radical, já que pode levar meses para a regulamentação ser implementada. “A LGPD trouxe ganhos importantes, como quando o Supremo Tribunal Federal questionou a medida provisória que autorizava o IBGE a recolher dados das empresas telefônicas”, comenta Flávia. “Mas estabelecer a quantidade de regulamentos previstos em lei não é do dia para a noite porque precisa abrir consulta pública e ouvir a sociedade. Não vamos conseguir resolver isso às vésperas da vigência completa.”
O ESTADO DE S. PAULO