Sanções da LGPD já estão valendo

Desde o início de agosto, as empresas que não estiverem adequadas à Lei Geral de Proteção de Dados (LGPD) estarão sujeitas a penalidades como advertências, multas que podem chegar a 50 milhões de reais e suspensão do direito de tratar dados pessoais. Apesar desses riscos, muitas companhias abertas ainda não se adaptaram totalmente à lei. 

As consequências decorrentes do descumprimento da lei são graves, mas, num primeiro momento, o mais provável é que as empresas recebam recomendações e advertências com caráter educativo e orientativo, consideram as advogadas Camila Borba Lefèvre e Flavia Meleras Bekerman, respectivamente sócia e associada do Vieira Rezende Advogados. Segundo elas, a lei prevê que a Agência Nacional de Proteção de Dados (ANPD) crie um regulamento próprio sobre as sanções administrativas, que inclua as metodologias que devem orientar o cálculo do valor-base das sanções e multas. Por ora, no entanto, a ANPD ainda não estabeleceu essa metodologia.

Mesmo sem multas, as companhias precisam ficar atentas, porque o prejuízo financeiro pode vir da suspensão do direito de tratar dados pessoais. “Isso pode significar a impossibilidade, por exemplo, de uma empresa acessar e usar o seu banco de dados, no qual tenha armazenado as informações relativas a seus clientes e parceiros”, explica a advogada Paula Chaves, sócia do Coimbra & Chaves Advogados. 

O principal risco que as empresas correm ao não se adequarem é o reputacional, considera Eugênio Corassa, associado do Freitas Ferraz Advogados: “No caso das empresas de capital aberto, em especial, é notório o efeito negativo que um vazamento de dados pessoais pode causar no preço das ações listadas nas bolsas de valores, como foi o caso da Equifax e do Facebook nos Estados Unidos.” 

Considerada inovadora e positiva, a LGPD tem potencial para melhorar a experiência dos clientes e criar um ambiente mais seguro para a proteção de dados pessoais. Os advogados ressaltam, no entanto, que a aderência à lei é parte de um processo, sendo necessária a continuidade dos debates sobre tratamento e proteção de dados, assim como as ações educativas e de conscientização dedicadas ao estabelecimento de uma cultura de privacidade. 

Confira, a seguir, as explicações de Bekerman, Chaves, Lefèvre e Corassa sobre a LGPD.

---

Em linhas gerais, o que prevê a LGPD?

Paula Chaves: Resumidamente, a LGPD é a legislação nacional que busca proteger os direitos de liberdade e de privacidade das pessoas e das empresas sobre os seus dados. Assim, quaisquer pessoas que utilizem (ou, nos termos da lei, “tratem”) dados pessoais de terceiros (tais como nome, CPF, endereço, sexo, idade) são obrigadas a utilizar os dados nos termos da LGPD.

Dentre as principais inovações da LGPD, está a listagem exaustiva das possibilidades legais para o uso (tratamento) de dados pessoais por terceiros. A primeira e mais usual hipótese que autoriza o uso dos dados de terceiros é a necessidade de um consentimento pelo titular dos dados, que deve autorizar o uso de suas informações por empresas e terceiros. Esse consentimento não é uma “carta em branco”, e as empresas e terceiros devem usar e tratar os dados nos limites do que for autorizado pelo seu titular.

Camila Borba Lefèvre e Flavia Meleras Bekerman: A LGPD foi sancionada em agosto de 2018 e entrou em vigor no dia 18 de setembro de 2020. Na intenção de dar tempo para as empresas se adaptarem à cultura da privacidade, as sanções administrativas por violações à lei foram adiadas, tendo sua vigência a partir do dia 1º de agosto deste ano.

A LGPD trouxe consigo regras sobre coleta, armazenamento, tratamento e compartilhamento de dados pessoais de pessoas físicas, ou seja, todas as informações que são obtidas nas suas atividades e que, de alguma forma, são capazes de serem relacionadas a um indivíduo. Com isso, a lei busca resguardar a privacidade, liberdade de expressão, informação e opinião, garantindo a preservação da intimidade e imagem dos titulares de dados.

Eugênio Corassa: Em linhas gerais, a LGPD prevê diversas regras e obrigações no tocante à proteção de dados pessoais, regulamentando os processos de tratamento de dados atuais e futuros das empresas. Agora, os dados pessoais precisam ser tratados de acordo com alguns princípios legais, bem como observando requisitos técnicos e de segurança mínimos e sempre com a atribuição de uma base legal adequada – isto é, de uma hipótese autorizativa aplicável, como, por exemplo, a execução de um contrato, o consentimento do titular ou o exercício de direitos em processos judiciais.

Além disso, a lei prevê uma maior segurança jurídica para o titular dos dados pessoais, pois impõe maior transparência a respeito das práticas de tratamento de dados pelas empresas, além de passar a punir os entes que realizarem essa atividade de forma inadequada.

Em essência, isso quer dizer que agora os indivíduos têm mais poder sobre o tratamento dos seus dados pessoais realizado pelas empresas e órgãos governamentais.

---

O que a lei estabelece para essa nova fase que se inicia em agosto?

Paula Chaves: A lei, criada em 2018, estabeleceu um prazo de adequação às obrigações de proteção e uso de dados, sendo fixado o prazo final de aderência à LGPD (após algumas postergações) para 1º de agosto deste ano. Assim, desde essa data, as empresas que não estiverem adequadas às determinações e obrigações da LGPD estão sujeitas às penalidades nela previstas. Dentre as punições, destacam-se advertências, multas e a possibilidade de suspensão do direito de tratar dados pessoais. Quando aplicadas pela Autoridade Nacional de Proteção de Dados (ANPD), as multas poderão alcançar até 50 milhões de reais.

Dessa forma, as mais de 59% de empresas listadas em bolsa de valores ainda não aderentes à LGPD (seja por não estabelecerem parâmetros adequados para a obtenção do consentimento, não realizarem de forma adequada o tratamento de dados, ou pela não indicação de um encarregado pela proteção de dados pessoais – Data Protection Officer, dentre outras obrigações) estão, desde 1º de agosto, sujeitas às penalidades da LGPD.

Camila Borba Lefèvre e Flavia Meleras Bekerman: Conforme o artigo 52 da LGPD, a Agência Nacional de Proteção de Dados (ANPD) pode aplicar as seguintes sanções administrativas:

• advertência, com indicação de prazo para adoção de medidas corretivas;
• multa simples, de até 2% do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a 50 milhões de reais por infração;
• multa diária, observado o limite total a que se refere o inciso II;
• publicização da infração após devidamente apurada e confirmada a sua ocorrência;
• bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
• eliminação dos dados pessoais a que se refere a infração;
• suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de seis meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;  
• suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de seis meses, prorrogável por igual período;  
• proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.   

Qualquer violação à LGDP é passível de sanção. Porém, o artigo 53 da lei estabelece que a ANPD deverá criar um regulamento próprio sobre as sanções administrativas, contendo as metodologias que orientarão o cálculo do valor-base das sanções e multas.  Por enquanto, a ANPD ainda não estabeleceu essa metodologia, de forma que a possibilidade de aplicação de sanção nesse momento é muito limitada. Diante disso, é mais provável que a ANPD continue dando recomendações e advertências a empresas, como realizou com o Whatsapp, em um caráter educativo e orientativo.

É importante destacar que, desde setembro de 2020, as empresas já estão sujeitas à fiscalização pelo Ministério Público e pelos órgãos de defesa do consumidor, bem como a demandas em benefício dos titulares dos dados pessoais, inclusive judicialmente.

Eugênio Corassa: Desde o dia 1º de agosto estão em vigor os artigos 52, 53 e 54 da LGPD, que tratam especificamente das sanções administrativas que podem ser aplicadas pela Autoridade Nacional de Proteção de Dados (ANPD). Dessa forma, passa a ser possível a fiscalização e a aplicação de sanções administrativas pela ANPD às empresas em desacordo com o disposto na lei, que incluem, por exemplo, a aplicação de multas que podem chegar a 50 milhões de reais, a publicização da infração à lei e até mesmo o bloqueio do banco de dados referente à infração.

---

Em que medida a falta de preparação põe em risco as empresas em geral e as de capital aberto em particular?

Paula Chaves: A questão financeira e patrimonial é o primeiro risco que se analisa diante das penalidades previstas na LGPD. Além das multas já comentadas, o prejuízo econômico pode ser percebido pela suspensão do direito de tratamento de dados. Essa suspensão pode significar a impossibilidade, por exemplo, de uma empresa acessar e usar o seu banco de dados, no qual tenha armazenado as informações relativas a seus clientes e parceiros.

Outro ponto que merece destaque, especialmente tratando-se de companhias abertas, é o prejuízo reputacional que pode ser gerado e, claro, a perda de valor econômico por causa de danos à imagem.

Por fim, podemos esperar que, gradativamente, potenciais investidores e parceiros comerciais também comecem a exigir e a cobrar, para o estabelecimento de parcerias e operações comerciais, que as empresas estejam em conformidade com a lei de tratamento de dados.

Camila Borba Lefèvre e Flavia Meleras Bekerman: A falta de adequação coloca as empresas em risco não somente por causa de possíveis sanções, advertências, multas, bloqueios etc., mas também devido à possiblidade de as empresas que não se adequarem terem a sua imagem prejudicada perante clientes, fornecedores ou acionistas.  As empresas de capital aberto, em particular, podem sofrer uma crise de imagem com o desrespeito à lei. É importante lembrar ainda que a LGPD estabelece obrigações mais rígidas com relação à segurança das informações que podem ser classificadas como informações pessoais. A lei obrigada a empresa a dar publicidade a um vazamento de dados pessoais, informando a ANPD e os titulares cujos dados foram vazados. Notificações sobre vazamento de dados (já conhecidas no exterior como data breach notifications) podem afetar negativamente a reputação de uma empresa. Os departamentos de relações com investidores das companhias de capital aberto devem ficar atentos sobre como essas obrigações de notificação se relacionam com a obrigação de publicação de fato relevante, por exemplo. 

Não há disposição diferente para as empresas de capital aberto quanto às sanções. O que pode mudar é a dosimetria, vez que, em alguns casos, se leva em consideração o faturamento da empresa para a possível aplicação da multa condizente — em geral, as companhias de capital aberto podem, em razão de altos faturamentos, serem condenadas a multas maiores.

É possível também que as empresas passem a ser avaliadas pelos investidores de acordo com o respeito à privacidade e à proteção de dados, que pode se tornar um aspecto importante na agenda ambiental, social e de governança (ESG).

Eugênio Corassa: A falta de preparação e a ausência de um programa de conformidade com a LGPD põem em risco as empresas em geral na medida que criam o risco de serem alvo de ações judiciais por infrações à lei, em razão de estarem tratando dados pessoais de forma inadequada ou mesmo por não estarem adequadas aos requisitos legais. 

Além disso, agora as empresas também podem sofrer com as sanções administrativas, que englobam multas que podem alcançar até 2% do faturamento da empresa por infração, a suspensão do exercício da atividade a que se refere a infração por até seis meses e até mesmo a eliminação dos dados pessoais a que se refere a infração.

Finalmente, o maior risco que as empresas correm ao não se adequarem à LGPD, em especial as empresas de capital aberto, é o dano reputacional que normalmente acompanha uma infração. No caso das empresas de capital aberto, em especial, é notório o efeito negativo que um vazamento de dados pessoais pode causar no preço das ações listadas nas bolsas de valores, como foi o caso da Equifax e do Facebook nos Estados Unidos. 

Vale lembrar que a falta de adequação impacta diretamente uma empresa no caso de um incidente de segurança da informação, pois a ausência de mecanismos de resposta, contenção e continuidade do negócio pode dificultar o combate ao incidente, resultando em maiores prejuízos à empresa e aos titulares de dados pessoais envolvidos no evento.

Além disso, consumidores podem se sentir menos aptos a comprar produtos e serviços de empresas que não estejam adequadas, já que estariam colocando os seus dados pessoais em risco. 

---

Pouco antes de a legislação completar dois anos, já é possível fazer um balanço de sua aplicação no Brasil, até considerando o que aconteceu no início da regulação europeia? Qual seria esse saldo?

Paula Chaves: A LGPD possui raízes profundas na legislação europeia de tratamento de dados, com diversos dos seus artigos sendo derivados e inspirados no Regulamento Geral sobre a Proteção de Dados (GDPR, na sigla em inglês). Tal como aconteceu na União Europeia, a criação da lei não significa o exaurimento da discussão sobre o tema de tratamento de dados, devendo a LGPD ser objeto constante de discussões com os envolvidos no tratamento de dados, para uma adequada regulação do tema (sobre isso, diversos países europeus passaram a, mesmo após a GDPR, estabelecer legislações próprias para melhor regular o tema, face às suas particularidades).

No Brasil, o fato de mais da metade das companhias abertas ainda não estar adaptada à legislação é um pouco assustador (se isso acontece nessas empresas, imagine nas pequenas e médias). A LGPD representa uma mudança brusca na forma como as empresas e o empresário brasileiro usam os dados de seus clientes e parceiros. Havia um senso, por parte dos empresários, de que esses dados eram de livre uso no mundo empresarial, senso este que caiu por terra com a LGPD.

A LGPD é inovadora em diversos aspectos, o que parece causar muitas incertezas aos empresários sobre como realizar a aderência de seus negócios aos padrões legais de tratamento de dados. Para dificultar, a pandemia de covid-19 foi um inesperado entrave à uma maior aderência aos termos da LGPD, uma vez que muitas empresas se viram forçadas a cortar gastos.

Independentemente desses pontos, é inquestionável o avanço regulatório trazido pela LGPD e o cenário nacional é positivo, com o País caminhando no sentido de estabelecer um ambiente mais seguro para a proteção de dados pessoais.  De todo o modo, para uma maior aderência das empresas nacionais à lei, é importante que as autoridades competentes, em especial a ANPD, continuem a promover debates com os empresários, abrindo espaço para discussões sobre o tratamento e a proteção de dados, temas estes que não se exaurem com a LGPD.

Camila Borba Lefèvre e Flavia Meleras Bekerman: No Brasil, a LGPD trouxe uma excelente oportunidade para as empresas que se adequaram ou estão em processo de adequação, possibilitando a fidelização de clientes por meio da proteção de dados. Com abordagens menos invasivas e melhorando a experiência do cliente, o interesse dos consumidores pelas marcas que se adequem tende a crescer naturalmente.  

Do ponto de vista do titular dos dados, os indivíduos cada vez mais entendem e se apropriam de seus direitos outorgados pela lei. No Brasil, cerca de 600 decisões judiciais sobre o assunto foram registradas no último ano, tratando-se de um tema de grande relevância no cenário atual.  

Qualquer violação à LGDP é passível de sanção, não apenas o vazamento de dados. Porém, já há jurisprudência dos tribunais pátrios indicando que o vazamento não gera necessariamente uma sanção. Isso acontece somente se for constatado que a empresa não tomou as medidas necessárias e obrigatórias para tal situação.

O dever de informar, previsto no Código de Defesa do Consumidor (CDC) e na LGPD, também vem sendo utilizado como base para diversas sentenças com a finalidade de garantir o conhecimento do titular-consumidor sobre a forma de tratamento de seus dados pessoais.

Na Europa e em outros países que estabeleceram legislações específicas sobre proteção de dados, as agências de proteção de dados locais começaram a investigar a adequação das empresas e sancionar mediante denúncias dos titulares, não de ofício. Ou seja, em princípio, as agências não desempenharam um papel somente sancionador, mas sim conscientizador, educativo. Quer dizer que, somente após um período de assimilação, a norma passou a ter um propósito manifestamente sancionador. 

Um ano após sua entrada em vigor, 67% dos europeus ouviram em algum momento a respeito da lei (GDPR) e começaram a se importar mais como seus dados são tratados. Cerca de 144.176 reclamações foram realizadas às autoridades de proteção de dados europeias em seu primeiro ano.

Como exemplo, a norma europeia exige que vazamentos de dados sejam reportados em no máximo 72 horas. As sanções decorrentes de eventuais omissões sobre o assunto são tão vultosas que, até fevereiro de 2019, de acordo com relatório elaborado pelo escritório DLA Piper, foram reportados quase 60 mil incidentes decorrentes de vazamentos de dados pessoais. Tal fato evidencia como a norma, ainda que recente, modificou a mentalidade predominante sob a égide da GDPR.  

Resumindo, no Brasil, cada vez mais, a LGPD vai ocupando um espaço importante na mentalidade dos indivíduos e das empresas controladoras ou operadoras de dados pessoais. A adaptação, embora não seja necessariamente rápida, necessita de incentivos pedagógicos, dentre os quais se destacam, em um primeiro momento, a conscientização e a criação de uma cultura da privacidade, seguidos de sanções previstas na legislação.

Eugênio Corassa: Sim, já é possível fazer um balanço de sua aplicação no Brasil, embora os efeitos de sua plena aplicação ainda não tenham sido sentidos, na medida em que apenas agora passam a valer as sanções administrativas.

No caso, a lei já estava parcialmente vigente desde setembro de 2020, embora as sanções só tenham entrado em vigor no início de agosto de 2021. Com isso, indivíduos e entidades de defesa de direitos já podiam acionar as empresas na Justiça por descumprimento do disposto na LGPD. Nesse sentido, não foram poucas as ações movidas utilizando o descumprimento da lei como fundamento, seja em ações trabalhistas ou cíveis ou em ações civis públicas demandando a correção das infrações e reparações pecuniárias.

Levando em conta, por sua vez, o que aconteceu na Europa, é possível apontar que observaremos um maior foco em proteção de dados no Brasil daqui em diante, com a mudança da cultura existente no País, principalmente agora que algumas multas e sanções passarão a ser aplicadas.

Até o momento, podemos dizer que o saldo é, de um lado, positivo para o ambiente regulatório brasileiro, que passa a incorporar padrões corporativos e boas práticas globais relativos à proteção de dados, bem como para o próprio consumidor, que passa a ter mais segurança jurídica no tratamento de seus dados pessoais. Por outro lado, ressalta-se que o saldo é negativo para empresas que ainda não se adequaram à LGPD, tendo em vista que agora ficam sujeitas a multas e ações judiciais que podem representar prejuízos financeiros e reputacionais enormes.