Opinião - As multas da LGPD
Área: Pessoal Publicado em 06/04/2023 | Atualizado em 23/10/2023
Foto: Divulgação Fonte: Jornal Valor Econômico
O infrator da LGPD talvez precise perceber que o radar que monitora infrações está ligado e que uma multa pode chegar a qualquer momento
Com a edição da Resolução nº 4/2023, do Conselho Diretor da Autoridade Nacional de Proteção de Dados, datada de 24 de fevereiro, que regulamenta a dosimetria das sanções previstas na Lei Geral de Proteção de Dados Pessoais (LGPD), não há mais como fugir das garras da LGPD. A partir de agora, a legislação passa a valer “de verdade”.
O “de verdade” acima, diga-se a verdade, está longe de ser a realidade fática. A LGPD já está em vigor há mais de dois anos, desde 18 de setembro de 2020, de modo que, no momento atual, todas as organizações privadas e entes do Poder Público já deveriam ter realizado os ajustes necessários em suas atividades para adequá-las aos termos da legislação, com a estruturação de políticas, procedimentos e programas de treinamento contínuo sobre proteção de dados, por exemplo.
O infrator da LGPD talvez precise perceber que o radar que monitora infrações está ligado e que uma multa pode chegar
O que se vê no mercado, entretanto, é um cenário bem diferente. Com exceção de grandes organizações e multinacionais, a maior parte dos agentes econômicos da iniciativa privada permanece inerte em relação à legislação de proteção de dados, como se a lei fosse cagativa, e não imperativa. É o mesmo tratamento que vem sendo conferido pelo Poder Público: nem mesmo os sítios eletrônicos dos governos do Estado de São Paulo e do Estado do Rio de Janeiro dispõem de uma política de privacidade ou apresentam informações claras, precisas e facilmente acessíveis acerca de suas práticas de tratamento de dados pessoais, em contrariedade à LGPD.
Nesse panorama, a regulamentação da dosimetria das sanções da LGPD tende a ter um efeito positivo no interesse das organizações a cumprirem com a norma. A verdade, no entanto, é que as multas da LGPD são pouco relevantes - ao menos no aspecto do prejuízo financeiro direto que podem causar aos infratores.
Isso porque as multas previstas na LGPD possuem um limite máximo estipulado pelo legislador que as tornam pouco dissuasórias: as sanções pecuniárias não podem ultrapassar 2% do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, e, além disso, em nenhuma circunstância podem superar o valor total de R$ 50 milhões por infração.
Embora nenhuma organização queira perder 2% do seu faturamento, fato é que a sanção pecuniária prevista na LGPD é relativamente baixa em comparação com outras leis de proteção de dados ao redor do mundo, sendo ainda menos relevante para as grandes organizações, com faturamentos bilionários. Enquanto autoridades de proteção de dados de outros países vêm impondo multas pecuniárias de centenas de milhões de dólares aos infratores, as sanções administrativas no Brasil serão diminutas no cenário global.
O que as organizações brasileiras muitas vezes não veem é que as multas da LGPD são o menor dos problemas para quem viola a legislação. Quem não está em conformidade com a lei pode facilmente quebrar, não tendo como continuar suas atividades comerciais por motivos como: (i) perda de negócios com parceiros comerciais ou clientes que não estão dispostos a contratar quem não cumpre com a legislação; (ii) danos à imagem da organização em razão de violações à lei; (iii) incidentes de segurança que coloquem em risco os dados pessoais mantidos pela organização, como os cada vez mais frequentes ataques de ransomware. Todos esses aspectos, inclusive, já vêm sendo pauta de preocupações recorrentes de empresas que perceberam o valor positivo da conformidade com a legislação.
Ainda assim, a possibilidade de enfim serem aplicadas as multas da LGPD possui um inegável valor didático. O infrator da LGPD pode, em muitos aspectos, ser comparado ao infrator de trânsito que dirige acima da velocidade permitida. Por mais que saiba que dirigir a 150 km/h numa rodovia em que o limite máximo é de 100 km/h possa resultar em maiores riscos à sua própria vida e à vida de terceiros em caso de acidentes, ou a prejuízos financeiros muito maiores caso colida o seu veículo nessas circunstâncias, o motorista infrator normalmente só reduz a velocidade diante de um radar, e só muda seu comportamento após receber multas pecuniárias.
O infrator da LGPD talvez siga a mesma estrada. Muito embora saiba (ou deveria saber) que a violação à legislação pode resultar em prejuízos incontornáveis, e muito mais relevantes do que uma sanção pecuniária imposta por um órgão regulador, talvez precise perceber que o radar que monitora infrações está ligado e que uma multa pode chegar a qualquer momento na sua porta.
Para que esse quadro se complete, e o infrator não ache que os radares do caminho estão desligados, ainda falta um elemento importante: a Autoridade Nacional de Proteção de Dados atuar de forma enérgica, o que deve começar a acontecer agora que as multas podem enfim ser aplicadas, considerando a edição do regulamento de dosimetria das sanções.
A primeira sanção a ser aplicada pela ANPD deve ser ainda mais paradigmática. Não pelo seu eventual valor, mas sim pelo que representará no sistema de proteção de dados brasileiro e pela mensagem que passará ao mercado. Ou você gostaria mesmo que a sua organização fosse a primeira a ser multada, com a notícia sendo inevitavelmente divulgada aos quatro cantos?
Se já não existiam justificativas racionais para defender a não conformidade com a LGPD anteriormente, agora, com a efetiva possibilidade de serem impostas as sanções previstas na legislação, o quadro para os infratores se torna ainda mais delicado. Aos que tanto duvidaram que a LGPD ia pegar, o recado hoje é mais claro do que nunca: se correr da legislação o bicho pega, se ficar em desconformidade com a lei o bicho come.
Felipe Palhares é sócio do BMA Advogados NULL Fonte: NULL
O infrator da LGPD talvez precise perceber que o radar que monitora infrações está ligado e que uma multa pode chegar a qualquer momento
Com a edição da Resolução nº 4/2023, do Conselho Diretor da Autoridade Nacional de Proteção de Dados, datada de 24 de fevereiro, que regulamenta a dosimetria das sanções previstas na Lei Geral de Proteção de Dados Pessoais (LGPD), não há mais como fugir das garras da LGPD. A partir de agora, a legislação passa a valer “de verdade”.
O “de verdade” acima, diga-se a verdade, está longe de ser a realidade fática. A LGPD já está em vigor há mais de dois anos, desde 18 de setembro de 2020, de modo que, no momento atual, todas as organizações privadas e entes do Poder Público já deveriam ter realizado os ajustes necessários em suas atividades para adequá-las aos termos da legislação, com a estruturação de políticas, procedimentos e programas de treinamento contínuo sobre proteção de dados, por exemplo.
O infrator da LGPD talvez precise perceber que o radar que monitora infrações está ligado e que uma multa pode chegar
O que se vê no mercado, entretanto, é um cenário bem diferente. Com exceção de grandes organizações e multinacionais, a maior parte dos agentes econômicos da iniciativa privada permanece inerte em relação à legislação de proteção de dados, como se a lei fosse cagativa, e não imperativa. É o mesmo tratamento que vem sendo conferido pelo Poder Público: nem mesmo os sítios eletrônicos dos governos do Estado de São Paulo e do Estado do Rio de Janeiro dispõem de uma política de privacidade ou apresentam informações claras, precisas e facilmente acessíveis acerca de suas práticas de tratamento de dados pessoais, em contrariedade à LGPD.
Nesse panorama, a regulamentação da dosimetria das sanções da LGPD tende a ter um efeito positivo no interesse das organizações a cumprirem com a norma. A verdade, no entanto, é que as multas da LGPD são pouco relevantes - ao menos no aspecto do prejuízo financeiro direto que podem causar aos infratores.
Isso porque as multas previstas na LGPD possuem um limite máximo estipulado pelo legislador que as tornam pouco dissuasórias: as sanções pecuniárias não podem ultrapassar 2% do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, e, além disso, em nenhuma circunstância podem superar o valor total de R$ 50 milhões por infração.
Embora nenhuma organização queira perder 2% do seu faturamento, fato é que a sanção pecuniária prevista na LGPD é relativamente baixa em comparação com outras leis de proteção de dados ao redor do mundo, sendo ainda menos relevante para as grandes organizações, com faturamentos bilionários. Enquanto autoridades de proteção de dados de outros países vêm impondo multas pecuniárias de centenas de milhões de dólares aos infratores, as sanções administrativas no Brasil serão diminutas no cenário global.
O que as organizações brasileiras muitas vezes não veem é que as multas da LGPD são o menor dos problemas para quem viola a legislação. Quem não está em conformidade com a lei pode facilmente quebrar, não tendo como continuar suas atividades comerciais por motivos como: (i) perda de negócios com parceiros comerciais ou clientes que não estão dispostos a contratar quem não cumpre com a legislação; (ii) danos à imagem da organização em razão de violações à lei; (iii) incidentes de segurança que coloquem em risco os dados pessoais mantidos pela organização, como os cada vez mais frequentes ataques de ransomware. Todos esses aspectos, inclusive, já vêm sendo pauta de preocupações recorrentes de empresas que perceberam o valor positivo da conformidade com a legislação.
Ainda assim, a possibilidade de enfim serem aplicadas as multas da LGPD possui um inegável valor didático. O infrator da LGPD pode, em muitos aspectos, ser comparado ao infrator de trânsito que dirige acima da velocidade permitida. Por mais que saiba que dirigir a 150 km/h numa rodovia em que o limite máximo é de 100 km/h possa resultar em maiores riscos à sua própria vida e à vida de terceiros em caso de acidentes, ou a prejuízos financeiros muito maiores caso colida o seu veículo nessas circunstâncias, o motorista infrator normalmente só reduz a velocidade diante de um radar, e só muda seu comportamento após receber multas pecuniárias.
O infrator da LGPD talvez siga a mesma estrada. Muito embora saiba (ou deveria saber) que a violação à legislação pode resultar em prejuízos incontornáveis, e muito mais relevantes do que uma sanção pecuniária imposta por um órgão regulador, talvez precise perceber que o radar que monitora infrações está ligado e que uma multa pode chegar a qualquer momento na sua porta.
Para que esse quadro se complete, e o infrator não ache que os radares do caminho estão desligados, ainda falta um elemento importante: a Autoridade Nacional de Proteção de Dados atuar de forma enérgica, o que deve começar a acontecer agora que as multas podem enfim ser aplicadas, considerando a edição do regulamento de dosimetria das sanções.
A primeira sanção a ser aplicada pela ANPD deve ser ainda mais paradigmática. Não pelo seu eventual valor, mas sim pelo que representará no sistema de proteção de dados brasileiro e pela mensagem que passará ao mercado. Ou você gostaria mesmo que a sua organização fosse a primeira a ser multada, com a notícia sendo inevitavelmente divulgada aos quatro cantos?
Se já não existiam justificativas racionais para defender a não conformidade com a LGPD anteriormente, agora, com a efetiva possibilidade de serem impostas as sanções previstas na legislação, o quadro para os infratores se torna ainda mais delicado. Aos que tanto duvidaram que a LGPD ia pegar, o recado hoje é mais claro do que nunca: se correr da legislação o bicho pega, se ficar em desconformidade com a lei o bicho come.
Felipe Palhares é sócio do BMA Advogados NULL Fonte: NULL
