Uso ilegal de dado pessoal rende multa de até R$ 50 mi; veja novas regras

Chegou quem faltava. Primeiro veio a Lei Geral de Proteção de Dados (LGPD), aprovada em 2018. Nela estão as normas que regem o tratamento de dados pessoais no Brasil, incluindo os direitos dos titulares de dados, os deveres que empresas e governos devem adotar, além das sanções decorrentes do descumprimento da lei. Mas quem aplicaria essas sanções?

Nos anos seguintes foi estruturada a Autoridade Nacional de Proteção de Dados (ANPD), com competência para fiscalizar o cumprimento da LGPD e para aplicar as sanções previstas na lei. Muita gente se frustrou ao imaginar que a Autoridade entraria em cena de maneira espetaculosa, mirando os casos mais midiáticos ou os chamados mega vazamentos, aplicando na largada multas vultosas.

É aqui que mora o perigo, já que, separados alguns anos da criação da Autoridade, a ausência de grandes processos sancionatórios fez com que algumas empresas e governos dormissem no ponto e reduzissem a velocidade de processos de adequação à LGPD ou a implementação de boas práticas no tratamento de dados pessoais.

Nos últimos anos, a ANPD publicou uma série de orientações sobre os mais variados temas. No que interessa para essa conversa, ela também colocou em consulta pública o regulamento com as regras para aplicação das sanções por parte da Autoridade. Esse conjunto de regras estabelece a chamada dosimetria das sanções, ou seja, quais critérios a ANPD vai levar em consideração para agravar ou atenuar as futuras punições.

Depois de receber subsídios e de passar por avaliações internas, essas regras foram publicadas na Resolução CD/ANPD Nº 4, que aprovou o regulamento de dosimetria e aplicação de sanções administrativas pela Autoridade.

De certa forma, chegou quem faltava para que a ANPD possa efetivamente começar a aplicar multas e demais sanções por casos de vazamento de dados e demais tratamentos irregulares de dados pessoais.

Isso não quer dizer que infrações cometidas no passado estão livres de punição, já que o regulamento se aplica aos processos administrativos em curso na Autoridade, por exemplo. O próprio diretor-presidente da ANPD, Waldemar Júnior, disse recentemente que oito processos administrativos em andamento na ANPD estariam aguardando a publicação do regulamento para a aplicação de sanções.

Mas que sanções são essas?

• A LGPD determina que infrações à lei podem ser punidas com advertência, publicização do ocorrido, suspensão do funcionamento do banco de dados implicado ou mesmo proibição das atividades de tratamento de dados, por exemplo.
• A Autoridade pode ainda aplicar multas de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração.

As infrações, segundo o regulamento, são classificadas em leve, média e grave.

A infração será considerada leve quando ela não atender aos critérios que são típicos das classificações média ou grave.

A infração média ocorre quando houver impacto significativo aos interesses e aos direitos fundamentais dos titulares de dados pessoais. O regulamento indica que essa circunstância pode ser averiguada em situações em que a infração impeça ou limite (a) o exercício de direitos ou a utilização de serviços; (b) ocasionar danos materiais ou morais aos titulares, como discriminação, violação à integridade física ou à imagem, além de fraudes financeiras ou uso indevido de identidade, desde que não seja classificada como uma infração grave.

A infração grave, por sua vez, ultrapassa as condições anteriores e inclui também pelo menos um dos seguintes elementos:

• (a) envolve o tratamento de dados pessoais em larga escala, avaliado a partir do número de titulares afetados, o volume de dados envolvidos, além da duração, frequência e extensão geográfica do tratamento realizado;
• (b) o infrator teve ou pretendia ter vantagem econômica com a infração;
• (c) a infração implicar em risco à vida dos titulares;
• (d) a infração envolver tratamento de dados sensíveis ou de dados de crianças, de adolescentes ou de idosos;
• (e) o infrator tratar dados pessoais sem quaisquer das bases legais previstas na LGPD (como consentimento, obrigação legal, cumprimento de um contrato e etc);
• (f) o infrator realizar tratamento com efeitos discriminatórios ilícitos ou abusivos. A infração também poderá ser reputada como grave se for verificada a adoção sistemática de práticas irregulares pelo infrator.

Alguns questionamentos podem ser feitos com relação à classificação proposta.

Por exemplo, uma infração média leva em conta o fato de o incidente gerar dano material ou moral. Acontece que a avaliação se um fato gera ou não dano material ou moral compete ao Poder Judiciário, e não às instâncias administrativas.

Imagina-se que esse elemento foi escolhido pelo regulamento para os casos em que a Justiça já condenou a empresa ou o governo pelo vazamento de dados, por exemplo. Assim, a Autoridade apenas reconheceria algo que já foi avaliado pelo Judiciário.

Outro ponto que chama atenção é a elevação do caso para a categoria de grave se afetar o tratamento de dados "em larga escala", ou impactar um "número significativo" de titulares, ou mesmo considerando "a duração, a frequência e a extensão geográfica do tratamento".

Como o regulamento não apresenta uma exemplificação que permita quantificar esses elementos, é de se esperar que os primeiros casos de punição comecem a dar uma ideia do que a Autoridade vai entender como sendo tratamento em larga escala ou grande volume de dados.

O regulamento traz ainda detalhamentos sobre circunstâncias agravantes e atenuantes que podem importar para o cálculo das multas.

São agravantes, por exemplo, as hipóteses de reincidência, além do descumprimento de medidas corretivas ou preventivas impostas pela Autoridade.

Por outro lado, o desenvolvimento e aplicação de boas práticas no tratamento dos dados pessoais, além da execução de medidas para reverter ou mitigar os efeitos da infração são elementos que podem atenuar a pena.

A publicação do regulamento inaugura uma nova fase na trajetória da proteção de dados pessoais no Brasil.

É possível que nos próximos meses comecem a aparecer os primeiros casos de punição por tratamento irregular de dados.

Se no Judiciário já existem diversas decisões sobre casos de vazamentos e incidentes de segurança, agora é a hora de conhecer como a ANPD vai sancionar quem dormiu no ponto.