No dia 16 de agosto, a Autoridade Nacional de Proteção de Dados (ANPD) disponibilizou a minuta inicial de resolução que regulamenta a aplicação das sanções previstas na Lei Geral de Proteção de Dados Pessoais (LGPD) pelo ente regulador, e deu início à consulta pública para ouvir a sociedade acerca da respectiva minuta. A regulamentação da dosimetria das sanções, não bastasse ser uma das mais esperadas pelo mercado, tem o potencial de mudar completamente o cenário da conformidade com a legislação por parte dos agentes de tratamento por uma razão muito concreta: o regulamento proposto confere garras bem afiadas à LGPD.
Desde que a LGPD foi aprovada, em agosto de 2018, e entrou efetivamente em vigor, em setembro de 2020, com as sanções podendo ser aplicadas a partir do dia 1º de agosto de 2021, a expectativa de todas as organizações da iniciativa privada que tratam dados pessoais e estão sujeitas à LGPD era de que a legislação fosse ter uma mordida delicada, especialmente diante dos limites impostos pela própria norma.
Por mais que tenha sido muito alardeado que a LGPD continha uma sanção de multa agressiva, que poderia chegar a R$ 50 milhões por infração, respectiva penalidade possui uma limitação relevante, de não poder superar 2% do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos. Em linhas práticas, somente empresas ou grupos econômicos com faturamento igual ou superior a R$ 2,5 bilhões poderiam ser multados com uma sanção de R$ 50 milhões pela ANPD.
A proposta do regulamento, que esteve em consulta pública até 15 de setembro, no entanto, trouxe novidades inesperadas. A mais impactante delas é o estabelecimento de um piso para as multas, um valor ao qual a sanção jamais poderá ser inferior, previsão que sequer se encontra no texto da LGPD e que pode tornar a mordida da lei dilacerante. De acordo com a minuta do regulamento, o montante da multa não poderá ser menor do que o dobro da vantagem auferida ou pretendida pelo infrator, quando estimável, respeitando-se sempre o “limite máximo” previsto na legislação.
Caso o regulamento seja aprovado nos moldes em que foi proposto, a depender de qual for a interpretação do “limite máximo” (se a limitação englobaria somente o valor máximo de R$ 50 milhões ou também o limite de 2% do faturamento) a multa máxima da LGPD não seria somente aplicada a grupos empresariais bilionários, mas também a startups, quando respectivos agentes auferirem – ou pretenderem auferir – R$ 25 milhões com as atividades que violem a legislação.
A lógica adotada pela ANPD é no mínimo controversa, não obstante outras autoridades reguladoras, como a Anatel, tenham normas com disposições similares, também estabelecendo um piso para as multas por elas impostas relacionado às vantagens auferidas pelo infrator. Embora o objetivo do regulador seja claramente tornar a violação à norma mais onerosa ao infrator, parece desproporcional imaginar que o simples fato de um agente obter um faturamento de R$ 25 milhões em razão de uma transgressão à LGPD potencialmente resulte numa sanção maior do que a imposta em razão de um vazamento de dados sensíveis, mas no qual o agente não auferiu, ou pretendeu auferir, nenhuma vantagem com esse incidente. Seria o caso, também, de se esclarecer explicitamente que o limite de 2% do faturamento jamais poderá ser ultrapassado, indiferentemente do valor da vantagem auferida ou pretendida.
Outro desafio especialmente complexo nesse modelo será como mensurar as chamadas “vantagens pretendidas” do infrator. No exemplo hipotético de um funcionário da organização infratora enviar um e-mail a outro funcionário dizendo que eles pretendiam faturar R$ 100 milhões com uma atividade de tratamento de dados pessoais, que posteriormente seja interpretada pela ANPD como incompatível com a LGPD, este valor imaginário, que nunca se concretizou, valeria como base para o cômputo das “vantagens pretendidas”?
Indiscutivelmente, a versão definitiva do regulamento da dosimetria das sanções da LGPD terá um papel fundamental na condução dos processos administrativos preparatórios que hoje já tramitam na ANPD, especialmente aqueles instaurados após 1º de agosto de 2021, que parecem estar se movimentando lentamente, aguardando as definições acerca da aplicação das sanções. Como previsto expressamente na minuta, as disposições do regulamento, quando aprovado, serão imediatamente aplicáveis aos processos em curso, de modo que muitos destes devem ganhar tração nos próximos meses.
Embora a previsão do piso da sanção de multa simples seja uma das mais severas estipuladas pela minuta do regulamento, ela não é a única a demonstrar que os dentes da LGPD serão efetivamente afiados. Por mais que a ANPD tenha se manifestado em diversos momentos no sentido de que a aplicação de multas não seria seu intuito central, o regulamento garante ampla margem para que a autoridade imponha sanções pecuniárias, com preceitos subjetivos e que podem ser interpretados de forma razoavelmente liberal em prol da imposição de multas aos infratores, além de diversas circunstâncias agravantes que podem majorar o valor final da sanção a ser aplicada.
Nesse cenário, uma constatação se torna inevitável: aos que duvidavam se a LGPD seria realmente aplicada e fiscalizada, a mensagem agora é evidente. A lei veio para ficar; e veio para morder. Quem ainda não se movimentou para adequar suas práticas à legislação, agora tem um incentivo ainda maior para fazê-lo com celeridade. Os novos dentes da LGPD – agora bem mais afiados – podem deixar cicatrizes profundas.
Autores: Caroline Valentim e Felipe Palhares
Foto: Canva
