Grande parte das reportagens e textos sobre a matéria pregam a ideia de que a implementação da LGPD em cada empresa deve ser feita em razão da possibilidade de imposição de sanções administrativas no caso de descumprimento a lei, sendo, quase sempre, apresentada a figura da multa no valor de até R$ 50.000.000,00 (cinquenta milhões de reais). Será mesmo que, em caso de aplicação de sanção, a multa seria o maior dos problemas para as empresas de pequeno e médio porte, ou outras seriam até mais gravosas do que a famosa multa?
Antes de falar especificamente de algumas das sanções administrativas dispostas na lei, importante salientar que estas somente poderão ser aplicadas pela Autoridade Nacional de Proteção de Dados (ANPD) a partir de 1º de agosto de 2021, visto ser disposição expressa do art. 65, inciso I-A, da própria LGPD.
A famosa multa de R$ 50.000.000,00 (cinquenta milhões) encontra-se disposta no inciso II, do art. 52. Da primeira leitura já é possível perceber que a referida sanção não é o monstro que irá fechar todas as empresas que descumprirem os preceitos legais, visto que o seu valor deve corresponder a até 2% do faturamento da empresa. Isso quer dizer que o alto valor frequentemente apresentado na mídia só poderá ser aplicado a empresas que tenham faturamento igual ou superior a R$ 2.500.000.000,00 (dois bilhões e quinhentos milhões de reais), o que corresponde a uma ínfima parcela das empresas registradas no país.
A repercussão sobre tal tema só tomou grande magnitude em razão de que o valor realmente é muito expressivo, fato qual favorece sua utilização como clickbait, porém poucos se preocuparam em levar em consideração quais seriam os requisitos a serem cumpridos para que houvesse a aplicação dessa sanção. Seria menos impressionante e chamativo, para o público, ler uma manchete em que se expõe “A LGPD prevê multas de até 2% do faturamento dos infratores”.
Ocorre que essa busca pela manchete chamativa acaba por prestar o serviço de desinformação ao público, pois, geralmente, sequer são mencionadas as outras sanções existentes e quais são seus efeitos.
A penalidade de publicização da infração após devidamente apurada e confirmada a sua ocorrência (art. 52, IV), a primeiro olhar, parece não ser das mais severas e preocupantes, porém, ao se levar em consideração a infração cometida e o contexto extremamente competitivo de algumas áreas, pode ser que cause até a falência de uma empresa.
Um exemplo seria o vazamento dos dados completos do cartão de crédito de todos os usuários de uma plataforma de marketplace. Isso representaria um enorme dano a todos os usuários, o que causaria grande desprestígio da empresa, e, em razão do cenário extremamente competitivo dos marketplaces, acarretaria na migração de grande parte dos clientes. Isso seria um cenário extremamente catastrófico para a empresa, pois, caso não conseguissem reerguer sua reputação no mercado, grandes chances de que necessitariam encerrar suas operações.
Se uma penalidade considerada leve já pode causar tamanhos prejuízos à uma empresa, quais serão os efeitos das sanções elencadas como mais severas pela própria lei?
Essa interpretação de qual sanção é considerada como mais extrema decorre do texto do § 6º, do art. 52, da LGPD, pois ele prevê que apenas 03 (três) das penalidades necessitam de um pré-requisito para sua aplicação, sendo eles:
I - somente após já ter sido imposta ao menos 1 (uma) das sanções de que tratam os incisos II, III, IV, V e VI do caput deste artigo para o mesmo caso concreto; e
II - em caso de controladores submetidos a outros órgãos e entidades com competências sancionatórias, ouvidos esses órgãos.
Para não prolongar muito o presente artigo, falaremos apenas de uma dessas penalidades, a qual pode ser considerada como a mais leve dentre as três.
O inciso X, do art. 52, prevê a sanção da suspensão parcial do funcionamento do banco de dados, a que se refere a infração, pelo prazo máximo de 06 (seis) meses, prorrogável por igual período, até a regularização da atividade.
Pensemos no caso de uma startup que utiliza o tratamento de dados como base para o desenvolvimento e entrega do produto ou prestação do serviço. A suspensão do funcionamento do seu banco de dados significa a impossibilidade de continuar sua operação até que se resolva a situação, ou seja, enquanto não for encontrada uma solução, a startup estará impedida de operar em razão do bloqueio de sua matéria prima, que são os dados pessoais dos clientes. Pode-se dizer que dificilmente uma empresa sobreviveria a um período de 06 meses sem que possa operar.
Diante do exposto, podemos observar que a grandiosa multa frequentemente mencionada não será a figura que assombrará todos os agentes de tratamento de dados que não cumprirem com as determinações da lei, pois sua aplicação, nos referidos valores, somente poderá ser efetuada a empresas com faturamento de, pelo menos R$ 2.500.000.000,00 (dois bilhões e quinhentos milhões de reais). Porém, isso não quer dizer que não existam outras penalidades com capacidade de descontinuar as operações da empresa, pois, como foi salientado, até mesmo uma sanção considerada leve pode gerar sérios riscos.
Sendo assim, é muito importante que todos que se enquadrem como agentes de tratamento de dados implementem as disposições da LGPD antes do início da aplicação das sanções, pois os gastos com a prevenção serão muito inferiores aos riscos e custos de uma possível penalização.
Gustavo Batagini Advocacia e Consultoria Jurídica
Tel: 41 99209-1810