A Lei Geral de Proteção de Dados (13.709/2018), que tem como principal objetivo proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural, entrou em vigor em setembro de 2020 e, devido a pandemia do COVID-19, suas sanções passaram a valer em agosto de 2021.
A LGPD é fiscalizada pela ANPD (Autoridade Nacional de Proteção de Dados) e suas sanções vão desde advertências com prazo para devida adequação à norma até a aplicação de multa.
Por se tratar de tema pouco explorado pela legislação brasileira, a LGPD trouxe diversas inovações, acompanhadas de muitas incertezas e dúvidas, o que vem constantemente exigindo a manifestação e complementação por parte do órgão fiscalizador, ou seja, a ANPD.
No dia 28 de janeiro a ANPD publicou a Resolução CD/ANPD n° 2 em que regulamenta a aplicação da LGPD para empresas de pequeno porte, incluindo microempresas, startups e condomínios. Dentre as vantagens trazidas pela resolução, as mais importantes foram:
• Não obrigatoriedade a nomeação de DPO;
• Prazo dobrado para atendimentos de solicitações dos titulares;
• Comunicação à ANPD e ao titular sobre a ocorrência de incidentes de segurança. Possibilidade de apresentação de informações, documentos, relatórios e registros solicitados pela ANPD a outros agentes de tratamento;
• Fornecimento de declaração clara e completa de confirmação de existência ou de acesso a dados pessoais. No caso de declaração simplificada, ela poderá ser fornecida em até 15 dias a partir do requerimento do titular.
No dia 10 de fevereiro de 2022 o Congresso Nacional promulgou a Emenda Constitucional 115, viabilizando a proteção de dados pessoais como direito fundamental, principalmente no ambiente digital. A emenda é decorrente da PEC 17/2019, e é um sinal da importância com que o tema vem sendo encarado.
Em junho a ANPD, órgão regulador da LGPD, foi transformado pelo Governo Federal em uma autarquia de natureza especial. Na prática, isso significa que a ANPD é um órgão independente, com orçamento próprio, e passa a funcionar como outras agências reguladoras.
Com o objetivo de fornecer as orientações necessárias, desde pontos técnicos, até conceitos, no dia 18 de Outubro de 2022, a ANPD (Autoridade Nacional de Dados) publicou guia orientativo sobre a utilização de cookies.
O guia apresenta recomendações aos agentes de tratamento de dados, como por exemplo, a elaboração de uma Política de Cookies ou documento equivalente o qual deve apresentar informações sobre as finalidades específicas que justifiquem a coleta de dados pessoais por meio de cookies, o período de retenção e se há compartilhamento com terceiros, dentre outras informações sobre o tratamento de dados listadas no art. 9º da LGPD.
A conhecida “Lei do CPF”, Lei n° 14.534/2023, publicada no dia 12 de Janeiro de 2023, vai de encontro aos termos da Lei Geral de Proteção de Dados (LGPD) uma vez que, no art. 6°, inciso III da LGPD mencionado o Princípio da Necessidade, conhecido como Minimização de Dados. Este, descreve que, o tratamento de uma de dados pessoais deve-se limitar a necessidade. Como o objetivo da lei é minimizar o impacto de um futuro vazamento de dados, fica demonstrado como a LGPD teve grande impacto na legislação brasileira.
A mais atual atualização da LGPD foi a publicação do dia 27 de Janeiro de 2023 da resolução que regulamenta o procedimento de dosimetria das sanções administrativas. A resolução entrou em vigor imediato, ou seja, já podem ser aplicadas multas pela ANPD. A dosimetria tem como objetivo apontar critérios de proporcionalidade entre a infração e a medida adotada pelo órgão regulador.
Nos termos do artigo 52 da LGPD podem ser aplicadas como sanções administrativas:
• Advertência;
• Multa simples (até 2% do faturamento da empresa, limitada, no total, a R$ 50 milhões, por infração)
• Multa diária (limite total de R$ 50 milhões)
• Publicização da infração;
• Bloqueio dos dados pessoais a que se refere a infração;
• Eliminação dos dados pessoais a que se refere a infração;
• Suspensão parcial do funcionamento do banco de dados por no máximo de 06 (seis) meses, prorrogável por igual período, até que se regularize a situação;
• Suspensão do exercício da atividade de tratamento dos dados pessoais por no máximo de 06 (seis) meses, prorrogável por igual período;
• Proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
Por se tratar de legislação bastante inovadora, a LGPD traz consigo muitos desafios, como por exemplo, tornar parâmetros das sanções como concretos, examinar os termos da lei muito subjetivos. Outro ponto que muito provavelmente será tratado pela ANPD é como será a dinâmica e aplicação da LGPD para outros órgãos públicos que têm um tratamento em larga escala de dados.
Como há muito a se definir e regularizar na LGPD, por se tratar de legislação inovadora e muito recente, não há como prever ao certo os próximos passos, mas é possível ver que a ANPD tem a intenção que sanções não só sejam aplicadas, mas que sejam aplicadas de maneira eficaz e justa.
Mariana Ferraz Barboza Lima é Bacharel em Direito pela Universidade Presbiteriana Mackenzie. Possui experiência em Contencioso Cível e Compliance, passando pelas áreas de LGPD, Direito Civil, Direito Tributário. Coordenadora da área de LGPD e Compliance na ZMR Advogados.