Sanções administrativas na LGPD

Network Networking Technology  - jmexclusives / Pixabay
  1. NATUREZA DAS SANÇÕES PREVISTAS
  2. CONDUTAS TÍPICAS PARA APLICAÇÃO DA SANÇÃO
  3. DESTINATÁRIOS DAS SANÇÕES
  4. SANÇÕES ADMINISTRATIVAS PREVISTAS
  5. PARAMETROS PARA FIXAÇÃO DAS SANÇÕES
  6. SANÇÕES APLICADAS AOS ÓRGÃOS PÚBLICOS
  7. REFERÊNCIAS

1. NATUREZA DAS SANÇÕES PREVISTAS

            Hoje existem algumas espécies de sanções no ordenamento jurídico, tais como as penais, civis, processuais, administrativas, regulatórias, entre outras.

            Como é mencionado no artigo 52, a LGPD cita as sanções previstas como administrativas, mas o que isso quer, de fato, dizer?

            Inicialmente, as sanções administrativas podem ter dois objetivos distintos: ressarcimento dos danos ou retribuição.

            Podemos mencionar, como exemplos de sanção administrativas retributivas a multa, a advertência, a cassação de autorização, a proibição de contratar com a administração, entre outras hipóteses.

            Assim, as sanções mencionadas no artigo 52 são de cunho administrativas retributivas, pois a sua finalidade é repressora e não ressarcitória.

2.CONDUTAS TÍPICAS PARA APLICAÇÃO DA SANÇÃO

            Infração e sanção são temas que estão sempre conectados, em regra, como faces de uma mesma moeda, de modo que há uma previsão normativa, geral e abstrata, de uma infração (o antecedente) faz-se associar a resposta jurídica correspondente (o consequente), qual seja, a sanção cabível na determinada situação.

            O artigo 52 é claro ao estabelecer que as sanções aplicadas “em razão das infrações cometidas à normas previstas nesta lei.” Qual delas? Não há distinção no artigo, ou seja, caracterizada qualquer infração à LGPD, incluindo no que toca à matéria menos objetiva, como a observação de princípios, por exemplo, já submete o infrator às sanções previstas.

3. DESTINATÁRIOS DAS SANÇÕES ADMINISTRATIVAS

            Na esfera administrativa, para a aplicação de sanções, é possível estabelecer o responsável pela infração, independentemente se a infração foi praticada por sujeito distinto, como é o caso da multa de trânsito, na qual o proprietário do veículo é presumidamente o responsável pela infração.

            Segundo o artigo 52, as sanções serão aplicadas contra os agentes de tratamento de dados, ou seja, o controlador e operador, nos termos de definição legal.

            O primeiro, conforme visto, é o responsável pela tomada de decisão quanto ao tratamento de dados, enquanto o segundo trata dados por instrução do primeiro, de acordo com o determinado por este e pela LGPD.

            O encarregado não se encontra incluído na definição de agentes de tratamento, não estando sujeito às sanções aplicativas previstas na LGPD, o que não quer dizer que não responderá por seus atos, fora da esfera administrativa, conforme cita o artigo 41.

            É relevante para a aplicação das sanções administrativas previstas quem, no âmbito de controlador ou operador, tenha cometido a infração da lei? Não, pois, quando se fala em tratamento de dados pessoais, a LGPD definiu objetivamente as responsabilidades dos participantes.

            Contudo, conforme cita o artigo 41, os empregados podem sofrer descontos se gerarem danos ao empregados, desde que a hipótese esteja prevista no contrato de trabalho. Assim, se da infração da lei, cometida por empregado, o controlados ou operador for condenado administrativamente e tiver prejuízo, poderá realizar o desconto do prejuízo, o que pode não cobrir o valor da multa, se fosse o caso, que pode chegar em cinquenta milhões de reais.

            Por outro lado, se o violador da lei for contratado, o agente de tratamento poderá ingressar com a ação de regresso contra ele, nos termos no artigo 934 do Código Civil.

4. SANÇÕES ADMINISTRATIVAS PREVISTAS

            O rol de sanções administrativas previstas no artigo 52, concentra as hipóteses possíveis, não havendo outras na esfera administrativa, o que não quer dizer que no âmbito judicial o juiz não determine o que entender necessário para a efetividade da tutela jurisdicional, bem como não exclui, ante o § 2º, demais sanções civis e penais definidas em outros diplomas legais.

            Conforme visto, tratam-se de sanções administrativas retributivas, constituindo-se um mal ou castigo, a fim de desestimular condutas similares no futuro.

            Não se confundem com a responsabilidade civil por danos causados ao titular ou terceiros, conforme citado no artigo 42.

            Grande parte das sanções são autoexplicativas, como é o caso da advertência e a multa diária.

            Iniciando pela multa “simples”, a denominação foi criada para diferenciá-la da multa diária, e está limitada a 50 milhões de reais por infração, não por ocorrência ou fiscalização. Dessa forma, se, por exemplo, na fiscalização, o tratamento de dados violar o artigo 16 e 18 da LGPD, seriam consideradas duas infrações, e não apenas uma.

            Reforma essa interpretação o fato de inciso I do § 1º do mesmo artigo usar o plural, quando se refere às “infrações”, ao mesmo tempo em que o inciso II usa o singular para se referir ao “infrator”. Ou seja, um “infrator” e a possibilidade de várias “infrações”.

            Apesar de não parecer ter sido esta a intenção do legislador, certamente haverá acirrada discussão sobre se a limitação incidirá sobre o caso concreto, analisando como um todo, ou item a item da LGPD.

            Não é muito notar que, apesar da sanção ser retributiva e tencionar desestimular condutas semelhantes, é fundamento da disciplina de proteção de dados a livre-iniciativa e o desenvolvimento econômico, o que inclui sua preservação.

            Assim, parece claro que, se numa única fiscalização houver a cumulação da multa por item violado da LGPD, muitos negócios poderão simplesmente deixar de existir, ante a soma que se alcançará com a cumulação.

Art. 2º A disciplina da proteção de dados pessoais tem como fundamentos.

[…]

V- o desenvolvimento econômico e tecnológico e a inovação;

VII- a livre iniciativa, a livre concorrência e a defesa de consumidor; e

[…].

            Dessa forma, entendemos que a aplicação da multa simples, em interpretação sistemática e teleológica da questão proposta, entendemos que a limitação da multa simples deve ser considerada para o caso concreto como um todo, não por item a item da lei.

            No inciso IV está prevista a publicização da infração, após a confirmação de sua ocorrência, mas a LGPD não prevê como ela se dará. Entende-se por publicizar tornar pública a infração, como a publicação em sites governamentais ou, eventualmente, obrigar ao próprio controlador que insira as informações em seu site.

            Contudo, o mais preocupante é que, uma vez na internet, a informação não poderá mais ser “apagada” e certamente será reproduzida por diversos meios e sites de terceiros que não terão a mesma disposição para realizar a retirada, na hipótese de o controlador adequar o tratamento e se tornar um controlador exemplar.

            A pecha pontual poderá denegrir a imagem do controlador por anos ou décadas.

            Nos incisos V e VI estão previstos o bloqueio e a eliminação de dados pessoais. O conceito de ambos se encontra previstos na LGPD:

Art. 5º Para os fins desta Lei, considera-se:

[…]

XIII – bloqueio: suspensão temporária de qualquer operação de tratamento, mediante guarda do dado pessoal ou do banco de dados;

XIV – eliminação: exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado;

[…].

            Em suma, enquanto no primeiro caso os dados pessoais ficam indisponíveis, temporariamente, para tratamento, no segundo eles são excluídos definitivamente, sem possibilidade de reversão.

5. PARAMETROS PARA FIXAÇÃO DAS SANÇÕES

            A LGPD estabeleceu critérios para a realização da dosimetria das sanções administrativa, que deverá ser aplicada levando-se em consideração “as peculiaridades do caso concreto”. Como já comentamos, se um lado, a sanção administrativa retributiva tem finalidade de desestimular condutas ilegais, e por outro, a LGPD estabeleceu como fundamento a livre-iniciativa e o desenvolvimento econômico, a dosimetria da sanção deve observar estes dois aspectos para que a lei cumpra o efeito almejado.

             Não faria qualquer sentido, por exemplo, penalizar uma empresa de forma mais gravosa do que a necessária para regularizar o tratamento de dados pessoais que ela realiza. Não se trata de fechar a empresa ou inviabilizar negócios, mas simplesmente fazer com que a LGPD seja respeitada e cumprida.

            Os critérios para a dosimetria da sanção são os seguintes: (i) a gravidade da natureza das infrações e dos direitos pessoais afetados; (ii) a boa-fé do infrator; (iii) a vantagem auferida ou pretendida pelo infrator; (iv) a condição econômica do infrator; (v) a reincidência; (vi) o grau do dano; (vii) a cooperação do infrator; (viii) a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados; (ix) a adoção de política de boas  práticas e governança, (x) a pronta adoção de medidas corretivas; e (xi) a proporcionalidade entre a gravidade de falta e a intensidade da sanção.

            As sanções administrativas precisam observar o princípio da razoabilidade, também incidente na Administração Pública.

            Ao estabelecer a sanção, a autoridade deverá ter em vista o bom senso supracitado, mas não só, deverá observar o ordenamento jurídico como um todo, consultar princípios, entender a natureza da sanção que terá que aplicar, observar o interesse coletivo envolvido na sua decisão, entre outros fatores.

            Dessa forma, a autoridade nacional deve, acima de tudo, ao determinar a aplicação das sanções administrativas previstas na LGPD, fazê-lo observando os princípios da razoabilidade e proporcionalidade.

            Por fim, conforme menciona o artigo 50, os controladores poderão adotar boas práticas que, na aplicação das sanções administrativas, pode torna-las mais amenas.

6. SANÇÕES APLICADAS AOS ÓRGÃOS PÚBLICOS

            Conforme visto, as pessoas jurídicas de direito público também estão sujeitas ás disposição da LGPD e, em decorrência desta imposição, também estarão sujeitas às sanções administrativas legais, nos termos do § 3º sob comento.

            Contudo, por princípio lógico, algumas sanções administrativas não poderão ser aplicadas à admiração publica, quais sejam, multa simples, multa diária e publicização. Isso porque nos dois primeiros casos, a atividade dos referidos órgãos, não se dedica ao lucro, sendo que a imposição de penalidades pecuniária somente oneraria o orçamento público, precarizando ainda mais os serviços prestados.

             O mesmo poderia se dizer para a publicização, pois, a sanção seria totalmente ineficaz para adequação do tratamento de dados, que é, afinal de contas, objetivo final das punições.

            As demais sanções, quais sejam, a advertência, bloqueio e eliminação de dados poderão ser aplicadas, nos termo do § 3º sob comento.

            Há de se ressaltar que o § 3º faz referência aos incisos VII, VIII e IX, porém eles foram vetados.

            Por fim, a aplicação das sanções administrativas não prejudica a incidência de outros diplomas legais, como é o caso da Lei 8.112 (Estatuto do Servidor Público), da Lei 8.429 (Lei da Improbidade Administrativa) e da Lei 12.527 (Lei de Acesso a Informação).

7.REFERÊNCIAS

RESENDE, Antonio José Calhau. O princípio da razoabilidade dos atos do poder público. Revista do Legislativo, abr. 2009.

Lei que cria Autoridade Nacional de Proteção de Dados é sancionada com vetos. Senado Notícias. 09 jul. 2019.

PINHEIRO, Patrícia Peck. Proteção de dados pessoais: Comentários à Lei nº 13.709 de 2018. São Paulo: Saraiva, 2018.

Lei nº 13.709 de 2018.

Lei nº 13.853 de 2019.

Lei nº 14.010 de 10 de junho de 2020.

MP nº 959 de 2020.

Artigos relacionados

Respostas

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *