Esta semana começou com uma data importante para indivíduos e organizações, devido ao Dia Internacional da Proteção de Dados, celebrado em 28 de janeiro. Na prática, esse dia refere-se à assinatura da Convenção 108 do Conselho da Europa em 1981. O principal objetivo da data é sensibilizar as pessoas sobre a privacidade e a proteção de dados pessoais.
No Brasil, o Dia Internacional da Proteção de Dados foi oficializado em 28 de janeiro de 2021, quatro meses após a entrada em vigor da Lei Geral de Proteção de Dados (LGPD). Portanto, trata-se de uma lei que está em vigor há quatro anos.
A legislação representa um marco histórico na regulamentação do tratamento de dados pessoais, abrangendo meios físicos e plataformas digitais, tanto para instituições privadas quanto públicas. Ademais, a LGPD foi incluída no rol de direitos fundamentais a partir da promulgação da Emenda Constitucional n.º 115/2022, reforçando, portanto, a importância dessa questão na legislação brasileira.
Analogamente, o momento é de reflexão sobre a privacidade numa era dominada pelas big techs. E a questão, acima de tudo, é: será que a sociedade brasileira tem o que comemorar? Vejamos.
Penalidades
De acordo com a Lei Geral de Proteção de Dados, são 6 as penalidades para as empresas que descumprirem as regras. São elas:
– Advertência: a empresa recebe um aviso com prazo para se adequar à legislação. Se não corrigir dentro do tempo previsto, sofrerá penalidades.
– Multa simples sobre o faturamento: pode chegar a 2% do faturamento da pessoa jurídica, com limite de 50 milhões de reais por infração.
– Multa diária: também limitada a 50 milhões de reais.
– Publicidade da infração: a infração é divulgada ao público, acarretando danos à marca.
– Bloqueio dos dados pessoais: impede o uso dos dados pessoais coletados até a situação ser regularizada.
– Eliminação dos dados pessoais: obriga a empresa a eliminar completamente os dados coletados em seus serviços, afetando sua operação.
O valor máximo das multas previstas pela LGPD é de R$ 50 milhões. No entanto, dependendo do porte da empresa, algumas penalidades podem ser ainda mais severas. Por exemplo, se uma empresa divulgar o vazamento de dados pessoais de milhares de clientes, isso poderá levá-la à falência, uma vez que comprometerá completamente a credibilidade da marca.
O que a lei considera antes das penas?
Todavia, a LGPD considera vários fatores antes de impor sanções administrativas. Entre eles, a gravidade e a natureza das infrações, a boa-fé do transgressor e as vantagens que ele logrou, sua condição econômica, reincidência, grau do dano, cooperação, adoção de boas práticas e governança, pronta adoção de medidas corretivas e proporcionalidade entre a gravidade da falta e a intensidade da sanção. As sanções completas estão no artigo 52 da Lei n.º 13.709.
E engana-se quem pensa que as multas não estão sendo aplicadas. Ou que a Autoridade Nacional de Proteção de Dados Pessoais (ANPD) só está mirando as grandes empresas. Ledo engano. Prova disso é que, no Brasil, a primeira punição por desrespeito às regras da LGPD ocorreu em julho do ano passado à Telekall Infoservice.
Na época, a empresa do setor de telefonia sediada em Vila Velha (ES) recebeu duas multas administrativas no valor de R$ 7.200 cada, totalizando R$ 14.400. Pode não parecer grandes coisas, mas para uma microempresa é um valor considerável. Tanto é que a sanção surpreendeu o mercado, que esperava que a primeira penalização seria aplicada a uma das grandes empresas de tecnologia que trata diariamente um grande volume de dados.
Lei para empresas de todos os portes e segmentos
Assim, a sentença serviu serviu como um lembrete para as empresas de que a aplicação da LGPD (e das multas) é multissetorial e independe do tamanho do negócio. E isso reacendeu a preocupação em se adequar à legislação.
Em janeiro deste ano, o Ministério Público solicitou à Justiça Federal a condenação da Enel Brasil S.A. pelo vazamento de dados pessoais de 4 milhões de clientes, ocorrido em novembro de 2020. O órgão busca uma indenização de R$ 30 mil para cada um dos clientes afetados.
Uma ação civil pública movida em conjunto com o Instituto Brasileiro de Defesa da Proteção de Dados Pessoais, Compliance e Segurança da Informação (Instituto Sigilo) realizou o pedido. Além da penalidade individual, as duas entidades também buscam a compensação de R$ 500 milhões por danos morais coletivos, como anunciado pelo MPF em 22 de janeiro.
A Enel informou em nota que não recebeu notificação da ação. Por sua vez, o Ministério Público afirma que a concessionária de energia descumpriu pelo menos 12 dispositivos da LGPD, não agiu com transparência e nem prestou assistência aos clientes afetados pelo vazamento. Os dados continuam disponíveis na internet, e a empresa não tomou nenhuma providência para remover essas informações. “A Enel agiu de forma inadequada e ilícita, lesando milhares de consumidores de seus serviços, independentemente do tratamento dado aos dados”, ressaltou a procuradora da República Karen Louise Jeanette Kahn, autora dos pedidos do MPF.
Fiscalização e regulação
A fiscalização e regulação da LGPD são de responsabilidade da Autoridade Nacional de Proteção de Dados Pessoais (ANPD), que atua como um órgão a serviço do cidadão. Desde a sua criação, inclusive, a autarquia tem se destacado como referência em cooperação internacional. Em 2021, firmou um memorando de entendimento com a Autoridade Espanhola de Proteção de Dados (AEPD). Por meio desse instrumento, ambas as instituições se comprometeram a identificar as melhores práticas no campo da proteção de dados pessoais.
Na mesma ocasião, a Autoridade brasileira tornou-se membro da Rede Ibero-Americana de Proteção de Dados, um fórum de entidades públicas e privadas que visa promover o intercâmbio de informações e desenvolver as normas necessárias para garantir a regulação do direito à proteção de dados pessoais em um contexto democrático.
Em 2023, a Autoridade foi aceita como membro pleno do Global Privacy Assembly (GPA). Essa organização reúne mais de 130 autoridades de proteção de dados de todos os continentes e tem como propósito ser um fórum global para autoridades de proteção de dados.
Para o diretor-presidente da ANPD, Waldemar Gonçalves, o diálogo com instituições internacionais é fundamental. “É uma ação a qual permite que conheçamos as boas práticas em proteção de dados já implementadas em outros países. Assim, por meio desse processo, fortaleceremos o nosso papel enquanto órgão garantidor de direitos”.
Regulamentação
Alguns aspectos relevantes da LGPD ainda esperam regulamentação. Entre eles, primordialmente, a dosimetria para sanções de multas e aplicação de sanções administrativas e os direitos dos titulares de dados pessoais. Ademais, estão o compartilhamento de dados pelo poder público e a transferência internacional de dados pessoais.
Todos esses temas constam na Agenda Regulatória da ANPD para este ano.