Por Frederico Cortez
A Lei Geral de Proteção de Dados (LGPD), em vigor desde agosto de 2020, inicia agora a sua fase fiscalizatória e punitiva após esgotado o prazo pedagógico da apresentação da legislação protetiva de informações pessoais. Em fevereiro deste ano, a Autoridade Nacional de Proteção de Dados (ANPD) divulgou as regras da aplicação de sanções administrativas. O conjunto normativo foi denominado de “Regulamento de Dosimetria”.
Para as empresas e empresários (as) que ainda permanecem incrédulos quanto à efetividade da LGPD, podem ter certeza de que estão apostando muito alto e com pouquíssimas cartas na manga. Dentre a métrica adotada pelo órgão do Governo Federal responsável pelo cumprimento da legislação de proteção das informações pessoais, tem-se: (i) a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados, em consonância com a LGPD; (ii) a adoção de política de boas práticas e governança; e (iii) a pronta adoção de medidas corretivas. Esses três pilares são afeitos à conformidade da empresa quanto à implantação das medidas protetivas para o tratamento de dados.
A LGPD não é e nunca foi uma “lei morta”, pelo contrário, a sua construção foi uma das exigências da Organização para a Cooperação e Desenvolvimento Econômico (OCDE) para que o Brasil se candidate a uma vaga como membro, o que ainda não se realizou até o momento.
Com este mapeamento pela ANPD, as infrações são classificadas em leve, média ou grave. Um grande equívoco de muitos empresários e empresárias é pensar que a primeira sanção punitiva será uma simples e insípida “advertência”, em ocorrendo pela primeira vez um incidente de vazamento de dados nas dependências de seus negócios. O marco regulatório de dosimetria da pena é claro quando dista em seu art. 10 que “A ANPD aplicará a sanção de multa simples quando: o infrator não tenha atendido as medidas preventivas ou corretivas a ele impostas, dentro dos prazos estabelecidos, quando aplicável”. Aqui o conceito de “infrator” diz respeito aos agentes de tratamento (operador e controlador). Traduzindo para quem ainda se faz de “surdo”, a canetada na multa vai ser sentida para os empreendedores desavisados.
No que tange ao ponto do valor da punição, a ANPD mediante o “Regulamento da Dosimetria” elenca o conceito de “valor-base” para empresas cujo faturamento esteja fora da aplicação máxima definida em lei que é de R$ 50 milhões por infração. Assim, empreendimentos de pequeno e médio porte serão autuadas com base no faturamento bruto, sendo que em caso de identificação de agravantes no incidente de vazamento de dados a multa será acrescida de percentual. Essa variação para mais poderá chegar até 30% sobre o valor da multa inicial estabelecida, pela Autoridade.
Todavia, há uma boa notícia para as empresas cautelosas e que já implementaram a conformidade da LGPD em seus dados. O marco regulatório da dosimetria introduz um perdão de até 75% sobre o valor da multa simples quando da cessação da infração, se a empresa agiu “previamente à instauração de procedimento preparatório pela ANPD”. Também haverá mais atenuante, esse no percentual de 50% “se após a instauração de procedimento preparatório e até a instauração de processo administrativo sancionador”. A redução da punição de multa simples inicia com 5%, quando verificada a “a cooperação ou boa-fé por parte do infrator”.
Se para a empresa de pequeno e médio porte reservar o valor entre R$ 5 mil até R$ 50 mil, com a finalidade de executar a conformidade determinada pela Lei Geral de Proteção de Dados pode parecer um “custo”, imagina quando o seu nome estiver na lista pública da ANPD como local de vazamento de dados de seus clientes. Certamente, esse “cancelamento” gratuito e público refletirá em um grau muito maior do que o montante investido na implementação da LGPD em sua estrutura empresarial, caso tivesse feito essa opção mais racional.
No mais, avalio como um grande pecado de muitos empreendedores em não ter um profissional do direito empresarial especializado em direito digital nessa temática da LGPD. Consultas, elaboração de documentos e pareceres jurídicos, transitando até mesmo uma defesa prévia em caso de notificação pela Autoridade Nacional de Proteção de Dados, e ainda atuando na administração de crise gerada por vazamento de dados. Esse novo perfil profissional na empresa nunca foi tão urgente como agora, o que concluo pela experiência já desenvolvida com a adequação de LGPD realizada em empresas.
Neste momento, rendo meus aplausos para as empresas que já estão alinhadas à LGPD. Agora para os empreendedores que ainda estão em estado de hibernação, o que tenho a dizer é que a temporada de caça está aberta pela ANPD! E para estes, os incautos e incautas empreendedores, sequer posso desejar boa-sorte!
Leia Mais
+ A defesa do empreendedor na LGPD, por Frederico Cortez
