Entraram em vigor no último dia 1º de agosto de 2021 as disposições da Lei Geral de Proteção de Dados (LGPD) acerca das penalidades administrativas, aplicáveis a agentes de tratamento de dados que cometerem infrações às normas previstas na Lei.
Entretanto, apesar de listadas entre tais penalidades (art. 52, LGPD), as multas administrativas ainda não serão aplicadas, uma vez que, segundo a Autoridade Nacional de Proteção de Dados, tais dispositivos legais ainda necessitam de regulamentação.
Cabe relembrar que as referidas multas administrativas causaram, desde a aprovação do texto legal, grandes preocupações entre empresas que promovem atividades de tratamento, em razão dos substanciais montantes a que podem chegar. De acordo com a LGPD, tais multas podem atingir o montante de 2% do faturamento bruto do grupo ao qual pertence a empresa infratora, até o limite de R$50.000.000,00.
Tais preocupações ganharam corpo recentemente, após o episódio em que a Amazon foi multada em US$886.600.000,00 pela Comissão Nacional de Proteção de Dados de Luxemburgo, após ser acusada de não cumprir com a legislação europeia em suas atividades de tratamento de dados.
Apesar de ainda não haver clareza quanto aos fatos que subsidiaram a aplicação de tamanha penalidade, é importante ressaltar que, de acordo com o Regulamento Geral Europeu de Proteção de Dados (GDPR), o montante de eventual multa deve ser calculado levando-se em conta a gravidade, duração e peculiaridades da infração. Trata-se de critérios análogos àqueles usados pela LGPD.
Segundo a Amazon, a referida penalidade não teria mérito e a companhia afirma que a contestará vigorosamente, mas o episódio faz refletir quanto a um futuro em que tais montantes passarão a ser definidos à priori pela Autoridade Nacional de Proteção de Dados (ANPD).
A ANPD afirmou que estaria ouvindo empresas e entidades diretamente impactadas por tais disposições, de forma a definir uma regulamentação que faça sentido, especialmente no que tange à dosimetria, o cálculo para se definir a pena. No entanto, independente da clareza e transparência com que for regulado tal ponto, ainda é preocupante o cenário que se avizinha. Afinal, trata-se de montantes aptos a retirar empresas do mercado.
Por conta disso, é de extrema importância estar em conformidade com a LGPD e principalmente lançar mão de eficientes mecanismos de segurança cibernética. A Lei prevê obrigações específicas quanto à adoção de medidas de segurança compatíveis com a natureza dos dados tratados, sendo o agente de tratamento responsabilizado na hipótese de danos causados por tratamento irregular (art. 44, LGPD). Ou seja, se vazamentos ocorrerem em razão da não adoção de mecanismos de segurança compatíveis com a legítima expectativa de segurança do titular de dados e com os riscos ligados a um potencial vazamento, além de sofrer aplicação de sanção administrativa, o agente de tratamento ainda terá de indenizar as partes afetadas.
Tanto a responsabilização perante terceiros, como a aplicação de sanções pela ANPD serão moduladas de acordo com a adoção de um ideal de segurança e conformidade com a Lei, havendo pouca margem para defesa quando tal ideal não é perseguido. Assim, para além das referidas medidas, é extremamente importante manter vigentes práticas de boa governança e demonstrar real interesse em reparar eventuais danos causados, tudo isso é levado em consideração pela ANPD em eventual penalização.
Escrito por Fernando Borges, associado da Drummond Advisors
