Penalidades administrativas na LGPD: a Quimera prestes a acordar

Parafraseando o escritor espanhol Baltasar Gracián, em sua "Arte da Prudência": "Quem não tiver a prudência por serva, que a tenha por amiga".

Esse aforismo moral ganha novo capítulo quando falamos da Lei Geral de Proteção de Dados (LGDP), nº 13.709, de 14/8/2018, cujo prazo para entrar em vigor possuía algumas variações, tendo em vista a necessidade de sua adequação para todas as pessoas físicas e jurídicas.

Amiúde às tentativas de sua prorrogação, a LGPD entrou em vigor definitivamente no dia 18/9/2020, exceto para as aplicações de sanções administrativas pela Autoridade Nacional de Proteção de Dados (ANPD), que passará a valer a partir do dia 1º de agosto.

As sanções administrativas previstas na LGPD se afiguram como uma verdadeira Quimera, na acepção mitológica da palavra. A Quimera (Chímaira) se constituía como uma figura mística caracterizada por uma aparência híbrida com três cabeças.

As penalidades administrativas da LGPD são como a Quimera, capaz de causar bastante dor de cabeça e severos problemas para aquelas organizações que ainda não se adequaram.

Entre as sanções administrativas previstas na LGPD, em seu artigo 52, aplicáveis pela Autoridade Nacional de Proteção de Dados, estão: advertência, com indicação de prazo para adoção de medidas corretivas; multa simples ou diária; bloqueio ou eliminação dos dados pessoais a que se refere a infração até a sua regularização; entre outros.

O desconhecimento, a inércia, a omissão e a não adequação à LGPD não são argumentos factíveis para evitar a possibilidade de aplicação das sanções.

Para agravar ainda mais a situação, as penalidades previstas na LGPD não substituem a aplicação de sanções administrativas, civis ou penais definidas na Lei nº 8.078, de 11/9/1990, o Código de Defesa do Consumidor, o que implica dizer que pode ser objeto de ações judiciais apartadas e/ou concomitantes.

As sanções administrativas da LGPD estão em stand-by, como se a Quimera estivesse dormindo, mas com o despertador previsto para acordá-la no dia 1º de agosto. Mas ainda é possível fazer a adequação da LGPD?

Dependendo do tamanho da organização, o máximo que poderia ser feito seria implementar um firewall para iniciar a adequação.

Além da necessidade de mapear os dados pessoais dentro da organização, com o objetivo de resguardar os direitos dos titulares, a organização ainda teria de revisar e adequar todos os seus contratos e estabelecer parâmetros de um relatório de impacto à proteção de dados pessoais, que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco.

Esse relatório de impacto à proteção de dados é um documento que pode ser objeto de solicitação da Autoridade Nacional de Proteção de Dados já no dia 1º de agosto.

Para as organizações que ainda não se organizaram, com o perdão do trocadilho, a sugestão é que imaginem o mito da Quimera e compreendam que as sanções administrativas da LGPD são similares aos receios que eram propostos quando da sua criação e que o objetivo, tanto das sanções administrativas quanto da Quimera, seria justamente resguardar a prudência das pessoas (físicas e jurídicas) na proporção de que essa besta mitológica já teria dia e hora para acordar. Ainda há tempo de ligar pelo menos o firewall na organização.

Daniel Cavalcante Silva é sócio da Covac Sociedade de Advogados.

Fonte:  Revista Consultor Jurídico