Por Carolina Coelho, advogada da Área de Direito Administrativo e Regulatório em Araúz Advogados.
Desde a publicação da Lei Geral de Proteção de Dados Pessoais (LGPD) em agosto de 2018 muito tem se falado sobre a necessidade de adequação das empresas à referida lei. As companhias passaram a incluir a privacidade e segurança de dados pessoais em seus Programas de Compliance, visando não somente garantir maior segurança jurídica nas relações comerciais com clientes, parceiros, fornecedores e stakeholders, mas considerando, ainda, o fato de que, no caso de eventual infração se concretizar, a comprovação da “adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados”, bem como a “adoção de política de boas práticas e governança” serão consideradas como atenuantes na dosimetria da sanção a ser aplicada pela Autoridade Nacional de Proteção de Dados (ANPD), órgão da administração pública federal responsável por orientar, regulamentar e fiscalizar o cumprimento da legislação.
Conforme se verifica da leitura do art. 52[1] da LGPD, a aplicação de multa pela ANPD pode causar grandes impactos financeiros, tendo em vista que eventual multa pode chegar até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, limitada, no total, a R$ 50 milhões por infração. Além da multa, a operação envolvendo o tratamento de dados pessoais poderá ser suspensa ou até mesmo proibida, o que pode gerar prejuízos financeiros incalculáveis, além de danos à reputação da organização.
Em que pese a aplicação de multa pela ANPD fosse possível desde 1º de agosto de 2021, tem-se que até o presente momento, a ANPD vem atuando de forma educativa, não tendo, ainda, atuado de forma punitiva. Não obstante, a fiscalização da norma vem sendo executada pelos órgãos de defesa do consumidor, quando as violações ocorrem em relações de consumo, bem como pelo Ministério Público, devendo ser destacado que o Poder Judiciário já vem aplicando a LGPD, coibindo condutas que ferem a privacidade dos titulares de dados por meio de condenação dos infratores ao pagamento de indenizações[2].
Muitas empresas estavam aguardando uma fiscalização efetiva da ANPD para adotar melhores práticas e conduzir suas atividades pensando no correto tratamento dos dados pessoais. Deve ser ressaltado, em especial para estas empresas que ainda não se adequaram, que a aplicação de multas, ao que tudo indica, está próxima, eis que a ANPD já aprovou o Regulamento do Processo de Fiscalização e do Processo Administrativo Sancionador no âmbito da Autoridade Nacional de Proteção de Dados, por meio da Resolução CD/ANPD nº 1, de 28.10.2021, restando pendente a regulamentação da metodologia de cálculo das penalidades, o que se espera que ocorra até outubro deste ano.
Portanto, já não há mais tempo para adiar a busca pela conformidade à LGPD. A privacidade e a segurança dos dados pessoais devem ser tratadas com prioridade pelas companhias, de modo a minimizar o risco de infrações e possíveis autuações e multas.
[1] Art. 52. Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas nesta Lei, ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional: I - advertência, com indicação de prazo para adoção de medidas corretivas; II - multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração; III - multa diária, observado o limite total a que se refere o inciso II; IV - publicização da infração após devidamente apurada e confirmada a sua ocorrência; V - bloqueio dos dados pessoais a que se refere a infração até a sua regularização; VI - eliminação dos dados pessoais a que se refere a infração; VII - (VETADO); VIII - (VETADO); IX - (VETADO). X - suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador; XI - suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período; XII - proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados. [2] Cite-se recente julgado do Tribunal de Justiça de São Paulo: “Responsabilidade civil. Indenização por danos morais. Ação cominatória. Tratamento de dado sensível pela Lei nº 13.709/2018. Autora, que, após perda gestacional, recebeu oferta da ré a respeito de serviços de coleta e armazenamento de cordão umbilical. Ré que confirma ter recebido informações a respeito da autora de terceiros. Dados sensíveis, a respeito da gravidez da autora, que não poderiam ter sido objeto de compartilhamento, nos termos do art. 11, § 4º, da Lei nº 13.709/18. Ré que fez uso indevido de dado sensível pertencente à autora com finalidade lucrativa. Prospecção de novos clientes. Ato ilícito caracterizado. Violação do direito de privacidade da autora. Indenização corretamente determinada na sentença (R$ 10.000,00). Ré que tem a obrigação legal de identificar o responsável pela coleta do dado da autora, o que se deu sem consentimento. Sentença de procedência dos pedidos mantida. Recurso desprovido. (TJSP; Apelação Cível 1041607-35.2021.8.26.0100; Relator (a): Alexandre Marcondes; Órgão Julgador: 1ª Câmara de Direito Privado; Foro Central Cível - 10ª Vara Cível; Data do Julgamento: 17/05/2022; Data de Registro: 18/05/2022)”, bem como do Tribunal de Justiça do Paraná: “Recurso Inominado. Bancário. Ação de obrigação de fazer cumulada com indenização por danos morais. Invasão na conta bancária. Transferência eletrônica realizada por terceiros que tiveram acesso aos dados do autor. Abertura de conta com as informações pessoais obtidas ilicitamente. Dever de segurança não observado. Vulnerabilidade dos sistemas. Responsabilidade solidária das rés envolvidas na cadeia de consumo. Art. 25, § 1° do CDC e Súmula 479 do STJ. Exegese do art. 42 da LGPD. Falha na operação e manuseio de dados. Proteção constitucional aos dados pessoais, consoante inciso lxxix do art 5° da Constituição. Acesso ilícito à conta bancária enseja violação ao direito à privacidade e intimidade, e, consequentemente, abalos psicológicos. Dano moral in re ipsa. Sentença parcialmente reformada. Recurso do autor conhecido e provido. (TJPR - 3ª Turma Recursal - 0007402-04.2021.8.16.0026 - Campo Largo - Rel.: JUIZ DE DIREITO DA TURMA RECURSAL DOS JUIZADOS ESPECIAIS FERNANDO SWAIN GANEM - J. 01.08.2022)”.