Quem desrespeitar a Lei Geral de Proteção de Dados (Lei 13.709) poderá ser punido. A norma foi aprovada em 2018, teve sua vigência iniciada no ano passado mas só agora, a partir de agosto, as sanções para quem violar os direitos dos titulares de dados e as obrigações para quem coleta e trata registros entram em vigor.
A LGPD lista como possíveis sanções advertência, multa (diária ou com limite de até 2% do faturamento da empresa), bloqueio dos dados pessoais objeto da violação, suspensão parcial do funcionamento do banco de dados e proibição parcial ou total do exercício da atividade relacionada ao tratamento de dados.
A lei fixa um conjunto de direitos para os titulares de dados, como informar quais dados estão sendo coletados e para quais finalidades, ou não reutilizar os registros coletados para outros propósitos, com algumas exceções. As empresas também têm um conjunto de exigências, como informar uma pessoa em caso de incidente de segurança.
A fiscalização e aplicação das punições ficam a cargo da Autoridade Nacional de Proteção de Dados (ANPD), estrutura vinculada à Presidência da República. Mas a execução depende ainda da publicação de um regulamento sobre o tema, que definirá a forma como será feita a fiscalização e os critérios para aplicação das sanções. A ANPD colocou uma proposta em consulta pública entre maio e junho e recebeu mais de 1.800 contribuições.
Segundo a diretora da ANPD, Miriam Wimmer, a proposta de regulamento trouxe uma perspectiva gradual que vai do acompanhamento de possíveis violações até diferentes graus de intervenção por parte do órgão.
“A gente previu determinados procedimentos que devem ser observados, começando de uma etapa de monitoramento das reclamações para identificar os principais problemas, passando por etapas de orientação, prevenção e repressão de infrações, culminando na aplicação de sanções”, explica.
A minuta coloca, por exemplo, os procedimentos para o início, avaliação, decisão e recurso dos processos de sanções. Segundo o documento, a ANPD pode encerrar um processo caso o tratador de dados que cometa a violação se arrependa e demonstre que interrompeu a prática. Outro instrumento é o firmamento de termos de ajustamento de conduta.
A aplicação de multas será objeto de uma norma específica, cuja proposta ainda está em estudo dentro da ANPD. Segundo Miriam Wimmer, apenas após a aprovação desse regulamento o uso de multas em punições poderá ser adotado.
Reclamação – A presidente da Comissão de Proteção de Dados e Privacidade da Ordem dos Advogados do Brasil do Rio de Janeiro, Estela Aranha, lembra que os cidadãos que tiverem constatado uma violação em relação aos seus dados podem procurar a empresa ou órgão com a reclamação, que deverá indicar o encarregado de proteção de dados e o responsável pela comunicação com os titulares de dados.
A pessoa também pode recorrer à ANPD. “Para fazer uma reclamação perante a ANPD é necessário primeiro que o titular dos dados faça sua solicitação para o agente de tratamento. Uma vez não atendido, o titular de dados pode apresentar à ANPD petições contendo comprovação da apresentação de reclamação ao controlador não solucionada”, explica.
As sanções da LGPD, aprovada há três anos, começam a ser aplicadas no último domingo aos infratores, assim como suas determinações. As consequências para quem infringir as regras vão desde advertências e multa de até R$ 50 milhões até a obrigatoriedade de eliminação dos dados relacionados à infração.
Todos os órgãos públicos e empresas privadas que desobedecerem às normas de proteção de dados pessoais são alvo de fiscalização da ANPD e poderão sofrer as punições. A ANPD recentemente apresentou consulta pública sobre as sanções. As punições previstas visam a evitar episódios como o megavazamento de informações atreladas a mais de 220 milhões de CPFs no início do ano.
A LGPD determina que o usuário precisa ser informado sobre como seus dados são coletados, armazenados e compartilhados, e a empresa deve ter o seu consentimento em casos específicos. Assim, sem ter registrados de forma clara a finalidade e o fundamento legal, uma empresa não pode, por exemplo, enviar mensagens (conteúdos, promoções, convites, informativos) via WhatsApp sem o aval dos clientes ou terceiros.
“Para que possam enviar dentro da lei essas informações aos consumidores, os empresários devem ter a anuência desse usuário. Nesse aspecto, precisam também explicar, de modo claro, que dados serão utilizados, bem como o seu objetivo. O consumidor deve ter a alternativa de recusar a utilização de seus dados pessoais. É imperativo que empresas que ainda não se adequaram se atentem às novas normas, pois as punições são severas”, alerta a advogada Patricia Pena da Motta Leal, da Motta Leal & Advogados Associados.
A advogada alerta que a multa prevista em lei pode chegar em até 2% do faturamento da empresa, limitada a R$ 50 milhões por infração, mas esta é a segunda infração possível, pois a ANPD pode ainda determinar que a empresa elimine os dados tratados do cliente, do funcionário ou do prestador de serviço oriundos daquela atividade. (ABr)
Brasscom defende a fiscalização da ANPD
Brasília – Na avaliação da Associação de Empresas de Tecnologia da Informação e Comunicação (TIC) e de Tecnologias Digitais (Brasscom), em meio à possível atuação de vários órgãos que poderiam aplicar punições, a Autoridade Nacional de Proteção de Dados (ANPD) deve ser o principal deles a realizar a fiscalização e atividades de prevenção e sanção.
A entidade entende que a Autoridade deve ter um papel indutor com vistas a promover segurança jurídica na atividade de tratamento de dados e buscar estimular confiança social sobre o uso de dados pessoais.
“A autoridade precisa se valer das competências educativas para instruir o que fazer em vez de uma atuação inibidora. Os casos de dano levam depois de processo administrativo e verificado dano que haja de fato a sanção respectiva. Mas antes de se chegar a esse processo sancionador haja escalonamento”, diz o gerente de Relações Governamentais da entidade, Daniel Stivelberg.
Para o diretor da Associação Data Privacy Brasil de Pesquisa, Rafael Zanatta, um problema ainda existente é a ausência de tipificação das infrações (como leves, médias e graves). Também não há clareza ainda sobre elementos que podem atenuar ou agravar uma eventual sanção.
O pesquisador alerta que há um discurso propagado por empresas que visa colocar um pânico com riscos de altas multas e possíveis prejuízos da punição aos negócios, o que não deve ocorrer. Além disso, há pressões do setor privado para aliviar as sanções, vinculando-as a um eventual dano material.
“Defendemos a importância de trazer a centralidade da proteção dos direitos e do tipo de violação na perspectiva dos direitos das pessoas, dos direitos coletivos. A ideia seria identificar um ilícito a partir do grau de lesão aos direitos das pessoas, e não à consequência de dano material”, defende Zanatta.
Bia Barbosa, integrante da Coalizão Direitos na Rede e do Comitê Gestor da Internet no Brasil destaca que a fiscalização e as sanções são fundamentais para que a LGPD seja efetivamente respeitada. Segundo ela, fato da entrada em vigor somente agora, mais de dois anos após a aprovação da Lei, mostra como houve pressão para que essa capacidade de aplicação da lei não seja plenamente utilizada.
A criação da ANPD de forma tardia, no segundo semestre de 2020 também dificultou a implantação da lei, como o fato da entrada das sanções em vigor sem que o regulamento da Autoridade esteja publicado.
A representante da Coalizão tem receio das declarações de integrantes da ANPD de que as sanções devem ser evitadas. “É fundamental que a ANPD trabalhe para uma cultura de proteção de dados pessoais, tanto educativa quanto de que os agentes de tratamento de fato incorporem as determinações na lei para cessar danos contínuos ou mitigar episódios. Muitas vezes, somente a partir de uma sanção mais dura que determinados atores podem adequar seus comportamentos à LGPD”, argumenta Bia Barbosa. (ABr)
Fonte: Diário do Comércio
