ANPD agora pode aplicar sanções por violação à LGPD

* Júlia Shinohara é advogada da área de proteção de dados do BZCP

A Autoridade Nacional de Proteção de Dados (ANPD) publicou em 27 de fevereiro de 2023 o regulamento (Resolução CD/ANPD nº 4/2023) que estabelece os parâmetros e critérios para a aplicação de sanções por infração à Lei Geral de Proteção de Dados – LGPD (Lei nº 13.709/2008). 

Com isso, a ANPD passa a poder aplicar sanções aos agentes que descumprirem obrigações da LGPD ou dos regulamentos publicados pela autoridade, o que deve acontecer num futuro bem próximo.

Em entrevista concedida pelo diretor-presidente da ANPD, Waldemar Gonçalves Júnior, no início deste mês, revelou-se que já há 8 processos administrativos em trâmite na ANPD, cujas análises já haviam sido concluídas e estava-se apenas esperando a regulamentação da dosimetria para a aplicação das sanções.

Embora a expectativa do mercado seja de que as primeiras sanções sejam aplicadas às grandes empresas de tecnologia, como Google, Meta e Twitter, logo mais as penalidades aplicadas pela ANPD devem atingir também as startups, visto que a LGPD aplica-se a qualquer empresa que execute atividades de tratamentos de dados pessoais, independentemente de seu tamanho.

Nesse contexto, torna-se ainda mais essencial que as startups se adequem às exigências da LGPD, implementando um programa adequado de compliance e governança de dados. Isso é, muito já se falou sobre a importância da implementação de um projeto de adequação à LGPD em razão do valor e do diferencial competitivo que isso traz para a empresa. Não obstante, agora com esta nova regulamentação, a economia gerada por um projeto de adequação à LGPD torna-se algo muito mais palatável e auferível.

Isso porque, além de prevenir a ocorrência de incidentes de segurança de dados, a implementação adequada e documentada de um programa de governança de dados é prevista expressamente no regulamento como uma circunstância atenuante que dá direito a um desconto de 20% no valor de eventual multa que venha a ser aplicada.

Ainda, o regulamento prevê um desconto de 75% caso a empresa faça cessar a infração antes da instauração de um procedimento administrativo pela ANPD. Nesse sentido, para que uma empresa seja capaz de cessar uma infração, é preciso que antes ela identifique a existência da infração, o que só é possível se a empresa tiver pleno conhecimento de todas as atividades de tratamento de dados por ela realizadas, bem como suas respectivas bases legais, de maneira que possa identificar e remediar eventuais gaps. 

Classificação da infração

De modo análogo, o regulamento prevê como uma das hipóteses de classificação da infração como “grave”, infrações que afetem significativamente interesses e direitos fundamentais em que o tratamento for realizado sem o amparo de uma base legal prevista na LGPD, realçando, mais uma vez, a importância da realização de um mapeamento das atividades de tratamento de dados e identificação das respectivas bases legais.

Outra hipótese de classificação da infração como “grave” com a qual as startups devem se atentar é aquela decorrente do tratamento de dados pessoais em grande escala, assim entendida a atividade de tratamento que envolver um grande volume de dados ou um número elevado de titulares, bem como a significativa duração, frequência e extensão geográfica do tratamento realizado.

Por isso, é importante que as startups implementem os princípios do Privacy by Design e Privacy by Default (“privacidade desde a concepção” e “privacidade por padrão”, respectivamente), de modo que seus produtos sejam concebidos e configurados de modo a apenas capturar os dados que de fato sejam essenciais para as atividades da empresa, mitigando os riscos aos titulares dos dados e, consequentemente, os riscos de sanções à empresa. Vale destacar que, quanto mais cedo uma empresa se adequa à LGPD e incorpora a privacidade em sua cultura, mais simples e indolor é este processo.

Além da classificação da infração (como leve, média ou grave), outro elemento que será considerado para a definição da sanção e do valor base da multa (em caso de infrações graves, ou em que o infrator não tenha atendido as medidas preventivas ou corretivas a ele impostas) será o faturamento do infrator no último exercício financeiro, que, no caso das startups, deverá ser de até R$ 16 milhões, conforme disposto no Marco Legal das Startups (Lei Complementar nº 182/2021).

 O regulamento prevê ainda que o pagamento da multa deverá ser efetuado no prazo de até 20 dias úteis, sendo concedido prazo em dobro para as startups, conforme definição da Resolução CD/ANPD nº 2/2022, que regulamente a aplicação da LGPD para agentes de tratamento de pequeno porte.

Isso posto, embora a expectativa seja de que as primeiras sanções recaiam sobre as grandes empresas de tecnologia, é essencial que as startups também já se mobilizem para concluir seus projetos de adequação à LGPD, visando evitar sanções, ou pelo menos diminuir o valor de eventuais multas, as quais devem começar a ser aplicadas nas próximas semanas.