Descumprir a Lei Geral de Proteção de Dados pode gerar punições a partir deste domingo
01 de agosto de 2021Empresas que desrespeitarem a LGPD podem ser multadas em até R$ 50 milhões por infração, mas documento que define cálculo para esta sanção ainda não foi publicado. Autoridade de proteção de dados deve começar aplicando advertências
LGPD tem objetivo de proteger dados de cidadãos – Foto: Reprodução
A Lei Geral de Proteção de Dados (LGPD), que estabelece regras sobre os uso dos dados pessoais dos brasileiros, está em vigor desde setembro de 2020. Mas só a partir deste domingo (1º) a Autoridade Nacional de Proteção de dados (ANPD) poderá aplicar sanções a quem descumprir.
O prazo quase um ano foi determinado pelo Congresso para dar tempo de as empresas se adequarem à lei e para que a ANPD, órgão ligado à Presidência da República e formado em outubro de 2020, pudesse regulamentar algumas regras.
Apesar do fim desse período, especialistas ouvidos pelo G1 dizem que o órgão deve ter uma atuação "educativa" neste início. Por isso, as primeiras ações da ANPD contra denúncias sobre o uso irregular de dados devem ser de advertir as empresas – o tipo mais brando de sanção.
Uma resolução do órgão indicou que as penalidades serão aplicadas de forma "escalável", subindo de degrau em degrau, levando em consideração a gravidade do casos.
As multas ainda devem demorar para ocorrer porque não foi publicado o documento que estabelece como elas serão calculadas.
Hoje, dados pessoais são requeridos em diversas atividades do dia a dia. Qualquer empresa ou entidade que realiza cadastros com nome ou um documento de um cidadão, seja ele feito pela internet ou não, precisa seguir a LGPD, até mesmo órgãos ligados ao governo – que não podem ser multados, mas estão sujeitos a outras sanções. Veja ao fim da reportagem como denunciar.
Quais são as punições?
Caso haja descumprimento das regras, a ANPD pode abrir um processo administrativo, que pode culminar em uma penalização:
- advertência;
- publicidade da infração, que funciona como uma maneira de alertar a sociedade de que determinada empresa desrespeitou as regras;
- multa simples, de até 2% do faturamento da empresa e que pode chegar a, no máximo, R$ 50 milhões por infração;
- multa diária;
- bloqueio dos dados pessoais referentes a infração;
- eliminação dos dados pessoais referentes a infração;
- suspensão do exercício da atividade de tratamento dos dados pessoais referentes a infração pelo período máximo de 6 meses, que pode ser estendido por outros 6 meses;
- proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
As empresas poderão se defender caso sejam processadas.
Se forem multadas, o valor não será pago para as pessoas que tiveram seus dados gerenciados de forma incorreta. Ele será destinado ao Fundo de Defesa de Direitos Difusos (FDD), que financia projetos que tenham como objetivo reparação de danos ao consumidor, meio ambiente, patrimônio e outros.
Além disso, a multa não é a penalidade mais severa. O advogado e professor no Instituto Brasiliense de Direito Público (IDP), Danilo Doneda, apontou ao G1 que uma sanção que obrigue uma empresa a interromper o uso de determinados dados pode ser mais efetiva do que a punição em dinheiro, já que irá interromper potenciais abusos no uso dessas informações.
Primeiro passo deve ser advertência
A ANPD irá seguir algumas diretrizes para aplicar sanções. Essas normas foram submetidas à consulta pública, mas ainda não foram publicadas.
A diretiva indica que as penalidades devem ser dadas em forma de pirâmide, como explica João Victor Archegas, pesquisador de direito e tecnologia do Instituto de Tecnologia e Sociedade (ITS-Rio).
"Vai começar com advertência e, a depender da extensão do dano, a depender também do tamanho do controlador [a empresa ou órgão que gerencia os dados] envolvido naquela violação, você começa a subir", afirmou.
O professor Danilo Doneda ressaltou que ainda faltam alguns passos até que as primeiras multas apareçam.
"A própria lei fala que, antes aplicar multa, a ANPD vai ter que publicar um documento dizendo como que será feito o cálculo das sanções em dinheiro. Enquanto isso não for feito, é bem pouco provável que [a autoridade] aplique multa, porque depois é fácil contestar", disse Doneda.
Em nota, a ANPD disse que a metodologia para o cálculo ainda será submetida à consulta pública e que não há um prazo para isso ocorrer.
Apesar disso, Doneda indicou ainda que, a partir de agora, o período de adaptação das empresas acabou e que qualquer infração à LGPD poderá gerar processos administrativos a partir da autoridade.
Archegas, do ITS-Rio, apontou que a ANPD não existe somente para aplicar sanções, mas tem o papel de educar a população sobre a importância da proteção de dados no dia a dia, publicar orientações de boas práticas de segurança e garantir que a proteção de dados continue se fortalecendo no país.
A ANPD está pronta?
A estrutura da ANPD foi publicada pelo presidente Jair Bolsonaro em agosto de 2020, e estabeleceu 36 cargos para o órgão.
Ao G1, a assessoria de imprensa da autoridade indicou que os responsáveis por monitorar o cumprimento da lei, receber denúncias e aplicar as sanções fazem parte da Coordenação-Geral de Fiscalização, setor com 3 cargos previstos no decreto, que já estão preenchidos.
O pesquisador João Victor Archegas indicou que a autoridade avançou em sua estrutura interna e está em contato com a sociedade, pesquisadores e tem publicado suas resoluções pra consulta pública.
"A tendência é que partir de 1º de agosto a ANPD tenha fôlego pra fazer valer todos os dispositivos da lei. É óbvio que, como qualquer outro órgão público, isso vai ser muito gradual e vai depender também da demanda", disse.
Para o professor Danilo Doneda, o órgão, com 36 servidores, ainda é muito pequeno se comparado com autoridades equivalentes de outros países, embora faça uma ressalva.
"Essas comparações são sempre difíceis de fazer. Cada país tem suas diferenças, cada lei também. Mesmo dando todos os descontos, é difícil imaginar que ANPD tenha gente suficiente para dar conta de um volume um pouco maior de reclamações. A gente pode falar isso com segurança, que tamanho ainda é uma coisa que preocupa", afirmou.
A ANPD é um órgão ligado à Presidência da República e ainda não tem orçamento próprio – esse, inclusive, é um dos objetivos listados na agenda da autoridade. Por isso, não há autonomia para adicionar novos servidores.
Posso fazer denúncias?
Sim, a ANPD recebe denúncias sobre o uso indevido de dados, mas existem dois sistemas separados para o envio dessas reclamações:
- Na página inicial da ANPD, há um link de "Denúncia" que leva ao sistema Fala.BR. Nele, o cidadão indica que quer enviar uma manifestação para a Autoridade Nacional de Proteção de Dados e descreve o problema;
- Há ainda uma página dedicada para "Reclamações" que indica a utilização do sistema de Peticionamento Eletrônico, que permite o envio de documentos de forma digital.
As denúncias podem ser feitas caso o cidadão acredite que seus dados estejam sendo utilizados indevidamente.
Mas há uma regra: é preciso tentar um contato direto com o controlador dos dados, ou seja, a empresa que está armazenando ou utilizando suas informações. É preciso comprovar a tentativa de contato ao fazer uso do sistema de Peticionamento Eletrônico, incluindo capturas de tela de e-mails não respondidos, por exemplo.
"Se não conseguir resolver, aí envia uma reclamação diretamente pra ANPD, que pode entrar em ação", disse João Victor Archegas.
Em casos de vazamentos de dados, a ANPD recomenda ainda que seja registrado um boletim de ocorrência.
Somente a ANPD pode atuar em questões de proteção de dados?
Não. O professor Danilo Doneda explica que existem temas que são somados à proteção de dados, como é o caso do direito do consumidor.
A ANPD não destina valores de multas para as pessoas. Se um cidadão se sentir prejudicado e quiser buscar uma indenização, ele poderá procurar órgãos de defesa do consumidor ou a justiça para a reparação de danos.
Nesses casos, só há direito à indenização caso fique comprovado algum prejuízo sofrido.
É por isso que as multas previstas na LGPD só poderão ser aplicadas agora, mas a Justiça já condenou empresas tendo a lei como referência para as suas decisões.
Valedoitaúnas (G1)