O tema da proteção de dados vem ganhando atenção de forma exponencial nos últimos meses. A Lei Geral de Proteção de Dados Pessoais (LGPD) está prevista para entrar em vigor no dia 16 de agosto de 2020. Dentre vários tópicos que vêm sendo discutidos, há uma turma de fogueteiros que fica repetindo: quem não cumprir a lei vai pagar uma multa de 50 milhões de reais!
O propósito deste texto é demonstrar como a lei trata as sanções administrativas. E demonstrar que esta cifra é muito mais um fantasma do que qualquer outra coisa. Ou ainda, um lamentável argumento de vendas para arrebatar os incautos. Sim, sempre os há.
A ideia aqui é fazer uma breve exegese do texto legal, neste ponto em particular, com o propósito de desmistificá-lo.
A primeira desmistificação: o faturamento
As sanções administrativas estão previstas no artigo 52 e seguintes da LGPD. De fato, há a previsão de uma multa limitada a 50 milhões de reais. Diz o Inciso II do artigo 52:
Art. 52. Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas nesta Lei, ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional:
II – multa simples, de até 2% (dois por cento) do faturamento da pessoa jurÃdica de direito privado, grupo ou conglomerado no Brasil no seu último exercÃcio, excluÃdos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
Este é o limite máximo a que uma empresa, ao descumprir a LGPD, está sujeita, do ponto de vista administrativo. Um simples cálculo, no entanto, demonstra que, para atingir este patamar, é necessário ter um faturamento bilionário. Ora o limite é de 2% do faturamento. Logo, para que a multa atinja os 50 milhões de reais, é necessário que a empresa tenha um faturamento de 2,5 bilhões de reais!
“ExcluÃdos os tributos”
E veja que o texto legal traz a expressão “excluÃdos os tributos”. Se considerarmos uma carga tributária de 25% (sendo otimista) isso significa que o faturamento bruto sobe para cerca de 3,3 bilhões de reais! Portanto, somente empresas com este nÃvel de faturamento estão sujeitas a pagar os 50 milhões de reais de multa!
O fantasma dos 50 milhões
A segunda desmistificação: A graduação das penas
Para além da vinculação ao faturamento lÃquido de impostos, conforme visto acima, há também a questão da graduação das penas. Ou seja, o limite 50 milhões de reais previsto na LGPD é o teto. A ideia é que somente seja atingido nos casos realmente muito graves.
O parágrafo primeiro do artigo 52 da LGPD prevê nada menos do que 11 (sim, onze) critérios que precisam ser levados em conta na aplicação da sanção. Diz assim o texto legal:
§ 1º As sanções serão aplicadas após procedimento administrativo que possibilite a oportunidade da ampla defesa, de forma gradativa, isolada ou cumulativa, de acordo com as peculiaridades do caso concreto e considerados os seguintes parâmetros e critérios:
I Рa gravidade e a natureza das infra̵̤es e dos direitos pessoais afetados;
II Рa boa-f̩ do infrator;
III – a vantagem auferida ou pretendida pelo infrator;
IV Рa condi̤̣o econ̫mica do infrator;
V Рa reincid̻ncia;
VI – o grau do dano;
VII Рa coopera̤̣o do infrator;
VIII – a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados, em consonância com o disposto no inciso II do § 2º do art. 48 desta Lei;
IX – a adoção de polÃtica de boas práticas e governança;
X Рa pronta ado̤̣o de medidas corretivas; e
XI Рa proporcionalidade entre a gravidade da falta e a intensidade da san̤̣o.
Check list
Este é um verdadeiro check list, tanto para o aplicador da sanção como para aquele que vai fazer a defesa da empresa imputada como tendo violado a LGDP. Obviamente, será necessário que em cada um destes critérios se conclua que a empresa adotou uma conduta gravÃssima. Um verdadeiro desastre, portanto. Convido o leitor a ler com calma cada um destes itens. Se uma empresa tirar “nota zero” em todos eles, mais do que sofrer uma sanção no patamar máximo, tem é que sair do mercado!
Ainda: A segurança jurÃdica
A LGPD prevê, além dos itens acima listados, o dever de a ANPD – Autoridade Nacional de Proteção de Dados – definir a metodologia do cálculo do valor da multa. Veja-se o que diz o artigo 53 da lei:
Art. 53. A autoridade nacional definirá, por meio de regulamento próprio sobre sanções administrativas a infrações a esta Lei, que deverá ser objeto de consulta pública, as metodologias que orientarão o cálculo do valor-base das sanções de multa.
§ 1º As metodologias a que se refere o caput deste artigo devem ser previamente publicadas, para ciência dos agentes de tratamento, e devem apresentar objetivamente as formas e dosimetrias para o cálculo do valor-base das sanções de multa, que deverão conter fundamentação detalhada de todos os seus elementos, demonstrando a observância dos critérios previstos nesta Lei.
§ 2º O regulamento de sanções e metodologias correspondentes deve estabelecer as circunstâncias e as condições para a adoção de multa simples ou diária.
Duas observações
Primeira: antes de aplicar sanções administrativas – aà incluÃda a multa – a ANPD deverá expedir regulamento próprio para o assunto. Esta será a garantia, aos administrados, da existência de critérios objetivos para o cálculo das sanções. Até que exista tal regulamento, entende-se não ser possÃvel a aplicação de sanções administrativas.
Segunda: uma vez editado o regulamento, os administrados terão ciência da metodologia e dos critérios a serem adotados na dosimetria das sanções. Esta deverá ser uma área fértil para argumentar junto à ANPD, sempre que se considerar ter sido mal empregada a metodologia fixada.
Há portanto uma graduação, seja no texto legal, seja no regulamento que a LGPD prevê que seja criado. Estas são medidas que trazem segurança jurÃdica. Um procedimento administrativo bem conduzido tenderá a minorar em boa medida a extensão da sanção. E Garantirá que esta seja aplicada de forma proporcional à infração que de fato venha a ser cometida.
Em conclusão: LGPD e FUD
Como visto, a cifra de 50 milhões de reais não deve impressionar a maioria dos negócios. Obviamente, as sanções que serão aplicadas ficarão abaixo deste patamar. Se e quando tivermos uma multa de 50 milhões, será um dia histórico. Um verdadeiro cisne negro.
É importante ficar atento a quem propaga FUD. É uma sigla que significa Fear, Uncertainty and Doubt. Ou, em bom português: Medo, Incerteza e Dúvida. Não temos ainda a cultura da proteção de dados. A União Europeia tem uma diretriz desde 1995. E ainda assim o mercado enfrentou dificuldades com o GDPR. É de todo recomendável que tenhamos uma fase de conscientização e esclarecimento. Obviamente, garantindo-se o enforcement desde logo. Mas com bom senso.
E é sempre bom lembrar: as sanções administrativas, uma vez esgotadas as possibilidades recursais nesta esfera, são passÃveis de questionamento judicial. Por certo, muitas discussões acerca de penalidades desaguarão no Poder Judiciário. Espera-se que aos poucos se construa uma jurisprudência, tanto na esfera administrativa como judicial. E que esta balize a conduta dos administrados no tema da proteção de dados e da observância da LGPD.