A partir de 01/08/2021, todos os agentes de tratamento de dados pessoais de pessoas físicas que descumprirem o regramento contido na Lei Geral de Proteção de Dados, LGPD, poderão ser penalizados administrativamente pela Autoridade Nacional de Proteção de Dados (ANPD).
Por mais que ainda tenhamos opiniões de que a LGPD não pegará no Brasil, essa visão é muito simplista, especialmente levando-se em consideração que a União Europeia tem levado muito a sério toda essa questão relacionada a privacidade e proteção de dados dos titulares europeus.
Vale destacar decisão recente em que a Amazon, gigante americana atuante no comércio eletrônico mundial, foi autuada pelo órgão que fiscaliza o cumprimento do Regulamento Geral de Proteção de Dados (GPDR) dos cidadãos europeus e acabou sendo multada pela utilização indevida de dados pessoais de pessoas físicas. O valor da multa, que na Europa não tem limitação, correspondeu a 0,2% do faturamento bruto da empresa e 4,2% sobre o líquido, chegando a uma quantia aproximada de 4,5 bilhões de reais.
No Brasil, os agentes de tratamentos que cometerem infrações às normas poderão ser penalizados com:
• Advertência;
• Multa simples, de até 2 % do faturamento;
• Multa diária;
• Publicidade da infração;
• Bloqueio dos dados pessoais a que se referir a infração;
• Eliminação dos dados pessoais a que se refere a infração;
• Suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 meses, prorrogável por igual período;
• Proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
Cada caso de descumprimento legal será analisado individualmente pela ANPD, que fará a análise acerca da adoção de boas práticas de segurança e proteção de dados efetivamente implementadas e adotadas pela empresa, além de também ponderar a gravidade da infração e a extensão dos danos efetivos ocasionados aos titulares dos dados violados.
Dentre as possíveis penalidades, é evidente que algumas poderão causar impactos mais relevantes às empresas, tanto financeira quanto estrategicamente falando.
A multa simples, por exemplo, poderá chegar ao correspondente a 2% (dois por cento) sobre o faturamento total da empresa, limitado a quantia de R$ 50.000,00 (cinquenta milhões de reais). Não dá nem para imaginar os problemas financeiros que as empresas poderão enfrentar, se tiverem que destinar grande parte de seu faturamento à Autoridade fiscalizatória.
Dependendo da infração cometida, a empresa também poderá ser condenada ao pagamento de multa diária até a regularização da situação que gerou a infração, em valor a ser atribuído pela própria ANPD.
Uma outra penalidade que poderá ocorrer e que, a princípio, não é tão falada, se refere à publicidade acerca da infração cometida pela empresa. Oras, o dano à reputação e imagem de determinada empresa poderá ser ainda maior do que a aplicação da multa em dinheiro, uma vez que tais notícias correm o Brasil e o Mundo em questão de segundos através da internet.
Outras sanções que poderão causar grande estrago no dia a dia das empresas se referem à possibilidade de bloqueio ou eliminação dos dados pessoais. Considerando que determinada infração atinja um número considerável de titulares de dados pessoais, a empresa poderá simplesmente ter que interromper suas atividades empresariais, especialmente se as principais delas estiverem ligadas aos dados, como é o caso de empresas de comércio unicamente eletrônico ou que o objeto social se relacione intimamente com o tratamento de dados em si.
Este mesmo impacto poderá ser sentido pelas empresas quando da aplicabilidade das sanções que suspendam a execução das atividades relacionadas ao ato de infração cometido ou que até mesmo proíbem, ainda que parcialmente, toda e qualquer atividade que se relacione de alguma maneira com o tratamento de dados.
Nunca é demais lembrar o fato de que além das multas administrativas, as empresas também poderão sofrer condenações judiciais, sem que seja considerada aplicação dupla de penalidade, já que as decisões são de esferas diferentes.
Portanto, as empresas, que ainda não fizeram, independentemente do tamanho, devem correr e se adequar à LGPD, implementando medidas de segurança hábeis à proteção da privacidade e dos dados pessoais, antes que sejam surpreendidas com penalidades que podem colocar os negócios em risco.
