A partir deste domingo (1º) entram em vigor os artigos 52, 53 e 54 da Lei Geral de Proteção de Dados (LGPD). Esses dispositivos tratam das multas e demais sanções administrativas que a Autoridade Nacional de Proteção de Dados (ANPD) poderá aplicar a qualquer “agente de tratamento de dados” que infringir normas da LGPD, a Lei 13.709/2018. Tanto os órgãos públicos, quanto as empresas privadas, poderão receber sanção pelo uso incorreto dos dados pessoais do cidadão.
Embora a lei tenha sido publicada em 2018, a maior parte dela só entrou em vigor em setembro de 2020, para que todos tivessem tempo de se ambientar às novas normas. Agora, três anos depois da sanção, as multas e sanções poderão começar a ser aplicadas.
A LGPD teve origem no PLC 53/2018, aprovado por unanimidade e em regime de urgência pelo Plenário do Senado, em julho de 2018. O texto é aplicável mesmo a empresas com sede no exterior, desde que a operação de tratamento de dados seja realizada no território nacional. A sanção foi feita pelo então presidente da República Michel Temer, em agosto de 2018.
Entre outros pontos, a lei proíbe o tratamento dos dados pessoais para a prática de discriminação ilícita ou abusiva.
Dentre as sanções administrativas previstas na LGPD para o caso de violação das regras previstas, destacam-se a advertência, com possibilidade de medidas corretivas; a multa de até 2% do faturamento, com limite de até R$ 50 milhões; o bloqueio ou a eliminação dos dados pessoais relacionados à irregularidade, a suspensão parcial do funcionamento do banco de dados ou a proibição parcial ou total da atividade de tratamento.
A Autoridade Nacional de Proteção de Dados já está completa. Seus cinco diretores foram aprovados pelo Senado, em outubro de 2020. Em novembro, a ANPD iniciou suas atividades, com a posse de seu atual diretor-presidente, Waldemar Gonçalves Ortunho Júnior. Também compõem a diretoria Arthur Pereira Sabbat, Joacil Basilio Rael, Nairane Farias Rabelo Leitão e Miriam Wimmer. Em dezembro do mesmo ano, o Senado se adiantou e regulamentou internamente o cumprimento das regras e as rotinas de atendimento aos cidadãos titulares dos dados.
A ANPD tem a missão de implementar e fiscalizar o cumprimento da lei geral. Entre as atribuições da agência estão a elaboração de políticas nacionais de preservação das informações pessoais e de punição a quem descumprir a norma, poder público ou iniciativa privada.
Cabe à entidade, por exemplo, cobrar dos governos e das empresas a transparência no uso de dados de qualquer pessoa. A LGPD garante a cada cidadão a privacidade de informações pessoais, como nome, endereço, e-mail, idade, estado civil, e obriga os sites, por exemplo, a esclarecer como os dados são tratados, armazenados e para que finalidade. Além dos cinco diretores, a ANPD tem um conselho, com integrantes indicados pelo Poder Público e pela sociedade civil.
Também no dia 1º de agosto passa a valer a Portaria 16 da ANPD, que dispõe sobre o processo de regulamentação no âmbito da entidade. Essa portaria estabelece procedimentos para a elaboração da agenda regulatória e de atos normativos editados pela autoridade nacional, incluindo regras aplicáveis sobre consultas à sociedade, elaboração de análises e avaliações de impacto regulatório.
A LGPD tem 65 artigos, distribuídos em 10 capítulos. O texto foi inspirado em linhas específicas da regulação europeia - o Regulamento Geral de Proteção de Dados (GDPR, em sua sigla em inglês). Estão abrangidos pela proteção da lei quaisquer dados, como nome, endereço, e-mail, idade, estado civil e situação patrimonial, obtido em qualquer tipo de suporte (papel, eletrônico, informático, som e imagem, etc). Nos casos de contratos de adesão, quando o tratamento de dados pessoais for condição para o fornecimento de produto ou de serviço, o titular deverá ser informado com destaque sobre isso.
Quem infringir a lei fica sujeito a advertência, multa simples, multa diária, suspensão parcial ou total de funcionamento, além de outras sanções.
O responsável que, em razão do exercício de atividade de tratamento de dados, causar dano patrimonial, moral, individual ou coletivo, é obrigado a repará-lo. O juiz, no processo civil, poderá inverter o ônus da prova a favor do titular dos dados quando, a seu juízo, for verossímil a alegação, houver hipossuficiência para fins de produção de prova ou quando a produção de prova pelo titular resultar-lhe excessivamente onerosa.
A lei tem o conceito de dados sensíveis, que recebem tratamento diferenciado: sobre origem racial ou étnica; convicções religiosas; opiniões políticas; filiação a sindicatos ou a organizações de caráter religioso, filosófico ou político; dados referentes à saúde ou à vida sexual; e dados genéticos ou biométricos quando vinculados a uma pessoa natural.
Para mais informações sobre a proteção de seus dados pessoais, veja os canais de atendimento da ANPD. A autoridade nacional também já publicou duas cartilhas de segurança para a internet, uma sobre proteção de dados e a outra sobre vazamento de dados. Há, ainda, guia voltado para os agentes de tratamento de dados pessoais.
Mín. 21° Máx. 29°