Blog

Já é do conhecimento de todos que o caminho para aprovação de uma lei no Brasil é bem tortuoso, com várias possibilidades de mudanças de rota durante sua tramitação. Com a Lei Geral de Proteção de Dados não está sendo diferente e no último dia 25 de setembro tivemos mais uma guinada nesta rota.

Mas é importante lembrar e explicar que em Julho deste ano o Congresso Nacional aprovou a Lei n. 13.853, que é a lei de conversão da MP 869/18, essa MP fez uma série de modificações no texto original da lei de proteção de dados. A lei de conversão alterou o art. 52 da LGPD para incluir 3 sanções aplicáveis nos casos de violações das normas de proteção de dados pessoais. São elas:

X – suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;
XI – suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período;
XII – proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.

Contudo tais previsões, e outras a elas relacionadas, foram vetadas pelo Presidente da República. Mas como o caminho legislativo é tortuoso, no último dia 25 estes vetos foram derrubados pelo Congresso Nacional. Ou seja, as sanções mencionadas poderão ser aplicadas.
Importante frisar que o Presidente havia vetado também o §6º e incisos do mesmo art. 52, que previa critérios para aplicação das mencionadas sanções. Este veto também foi derrubado e a previsão é a seguinte:
§ 6º As sanções previstas nos incisos X, XI e XII do caput deste artigo serão aplicadas:
I – somente após já ter sido imposta ao menos 1 (uma) das sanções de que tratam os incisos II, III, IV, V e VI do caput deste artigo para o mesmo caso concreto; e
II – em caso de controladores submetidos a outros órgãos e entidades com competências sancionatórias, ouvidos esses órgãos.

Análise pragmática

As sanções restauradas geram algumas discussões, com posicionamentos a favor e contrários, e que apesar delas vale lembrar que a regulação europeia (GDPR) também prevê sanções semelhantes em seu art. 58, 2, f. Porém aqui vou me ater a fazer uma análise pragmática, tendo em vista que a norma está posta.
Quando vemos o rol de sanções previstos no art. 52 da LGPD é muito comum nossa atenção se prender na sanção pecuniária prevista nos incisos II e III, até porque no inciso II tem escrito o valor de R$50.000.000,00 (cinquenta milhões de reais).

Apesar da citação expressa de um valor alto, é preciso lembrar que a multa na verdade é de 2% sobre o faturamento anual da empresa, limitada aos milhões mencionados. Ou seja, o faturamento precisa ser muito bom para que a multa chegue a este limite. Digo isso para desmistificar o que muitos dizem sobre a gravidade desta penalidade. Não que seja branda, mas há sanções mais graves como as que foram aprovadas, vetadas e restauradas agora. Vamos falar delas.

A sanção prevista no inciso X traz a suspensão parcial do funcionamento do banco de dados pessoais como penalidade. Se buscarmos no art. 5º, inciso IV, teremos a seguinte definição de banco de dados: “banco de dados: conjunto estruturado de dados pessoais, estabelecido em um ou em vários locais, em suporte eletrônico ou físico”. Se o seu banco de dados estiver na nuvem, por exemplo, a operação do mesmo poderá ser parcialmente suspensa. A dúvida que fica é: como será essa suspensão parcial? Podemos imaginar o seguinte: a Autoridade Nacional de Proteção de Dados, responsável pela aplicação da sanção, poderia restringir algumas das atividades de tratamento destes dados, permitindo somente o acesso, mas não a transferência, por exemplo.

Já a sanção do inciso XI é mais dura que a anterior, pois prevê a suspensão da atividade de tratamento de dados pessoais. Para aqueles que ainda não se familiarizaram com o significado de “tratamento de dados pessoais”, a palavra ‘tratamento’ para efeitos da LGPD é um gênero que comporta ao menos outras 20 ações. Praticamente todas as ações relacionadas a dados pessoais são consideradas tratamento e que podem ser suspensas desta forma.
E por fim a sanção do inciso XII que ao invés de suspenção, prevê proibição parcial ou total de atividades de tratamento de dados pessoais pela empresa violadora da LGPD.

Diante destas sanções faço a seguinte pergunta a você: quanto a sua atividade depende de tratamento de dados pessoais? É possível que sua atividade fique parada parcial ou totalmente, ainda que por um período de 6 meses? Pode ser que não saiba responder estas perguntas, mas pode imaginar o impacto. Mas me permita uma dica, o desenvolvimento de um projeto de conformidade com a LGPD bem feito vai te permitir dar essa resposta de forma exata.

Pode ser que por outras razões já tenha estimado o prejuízo de ter suas atividades suspensas por um determinado período, deve ter notado então que o valor pode ser bem superior ao da multa sobre o faturamento. Pois quando se falar em prejuízo nestes casos deve pensar em perda de faturamento, pois sua operação estará travada, mas há outros prejuízos atrelados à este. Se não opera, acaba “sumindo” do mercado e como diz o ditado “quem não é visto não é lembrado”, ou seja, a interrupção prejudica seu posicionamento no mercado. Este prejuízo pode ser bem difícil de recuperar.

A conclusão que chego é que estas três sanções são de longe as mais duras da LGPD. Não à toa o próprio legislador previu critérios para as suas aplicações no já citado §6º do art. 52. Mas ainda assim é preciso estar atento.
Todos sabemos que a cada dia que passa os negócios são mais dependentes de tratamento de dados pessoais, seja para marketing, para gestão de contratos, para cumprimento de outras obrigações legais. O que importa é que todos estamos, em alguma medida, tratando dados pessoais e por este motivo precisamos estar em conformidade com a LGPD. Quantos passos você já deu neste sentido?

Abraços! Até a próxima!

Dr. Cláudio Roberto Santos
OAB/MG – n° 93.772