Apesar de a Lei n. 13.709/2018, a Lei Geral de Proteção de Dados Pessoais (LGPD) estar em vigência desde setembro do ano passado, o legislador estabeleceu temporalidade diversa para os artigos 52, 53 e 54 da lei, referentes às sanções administrativas. Dessa maneira, a partir de 1º de agosto de 2021, há a possibilidade das sanções e multas previstas na LGPD serem aplicadas.
Há diversas sanções administrativas previstas na lei. Conforme o art. 52 da LGPD, as penalidades vão desde a advertência com indicação de prazo para adoção de medidas corretivas até a publicização da infração após devidamente apurada e confirmada sua ocorrência – o que pode ocasionar descredibilidade da empresa e sua marca perante o mercado –, e a suspensão do funcionamento do banco de dados a que se refere a infração.
Vale lembrar que tais sanções serão aplicadas apenas pela Autoridade Nacional de Proteção de Dados (ANPD), o órgão da administração pública federal com a missão de fiscalizar o cumprimento da lei. Assim, as sanções administrativas como bloqueio dos dados pessoais a que se refere a infração, ou a proibição parcial ou total do exercício das atividades relacionadas ao tratamento de dados são de competência exclusiva da Autoridade.
Isso, contudo, não substitui a aplicação de sanções civis ou penais definidas no Código de Defesa do Consumidor (CDC) e em legislação específica, por exemplo, ou aplicação de penalidades por outros entes, como agências reguladoras. Além disso, até final de junho deste ano havia pelo menos 600 sentenças judiciais que aplicaram a LGPD.
Como as sanções do art. 52, LGPD, serão aplicadas após procedimento administrativo, a Autoridade Nacional deve editar regulamento próprio que irá orientar o cálculo das multas, e conter as metodologias para tanto. Nesse sentido, a ANPD já trouxe uma proposta de resolução que define a estratégia de fiscalização, cujo regulamento passou por consultas públicas em maio e junho desse ano.
Por fim, é preciso destacar que a ANPD irá levar em consideração, na aplicação das sanções, se houve a adoção reiterada e demonstrada de mecanismos e procedimentos internos voltados ao tratamento seguro e adequado dos dados, bem como a adoção de política de boas práticas e governança. Portanto, a adequação às normas da LGPD será bem-vista – e não apenas pela Autoridade Nacional, como também pelos parceiros de negócios, funcionários e clientes –, e é preciso se preparar para demonstrar a boa-fé no tratamento de dados pessoais.
MARINA PEREIRA DINIZ
Advogada. Graduada em Direito pela Universidade Estadual Paulista “Júlio de Mesquita Filho” (UNESP).