Daniel Sales Godinho Alves (*)
O tema proteção de dados pessoais vem ganhando destaque no Brasil, principalmente depois da criação do General Data Protection Regulation, o chamado GDPR, legislação europeia que regulamenta o tratamento de dados pessoais, que passou a vigorar na União Europeia em 25 de maio de 2018.
Deste modo, influenciado pelo regulamento europeu, o legislativo brasileiro elaborou, já em 2018, a chamada Lei Geral de Proteção de Dados (LGPD), que também regulamenta o tratamento de dados pessoais, inclusive em meios digitais, por pessoa natural ou por pessoa jurídica. Após vários adiamentos e muita insegurança jurídica, a LGPD entrou parcialmente em vigor no dia 18 de setembro de 2020.
Por que a lei entrou parcialmente em vigor e não integralmente? Porque as sanções administrativas previstas na legislação tais como advertência, multa de até 50 milhões de reais, publicização da infração, bloqueio de dados pessoais, só poderão ser aplicadas a partir de 1º agosto de 2021 por força da Lei nº 14.010/20.
Não se pode falar em sanções administrativas da LGPD sem mencionar a Autoridade Nacional de Proteção de Dados (ANPD), órgão da administração pública direta federal cujo objetivo principal é aplicar as sanções administrativas e realizar a fiscalização do cumprimento da lei. Na prática, a ANPD já está constituída, mas ainda em estado inicial, todavia conforme já mencionado, a autoridade está impedida de aplicar as sanções até agosto deste ano.
Mas será que todas as pessoas jurídicas de direito público ou privado que efetuam tratamento de dados pessoais de pessoa natural estão isentas de receber eventuais sanções administrativas até agosto de 2021? Se a questão for restrita à aplicabilidade da LGPD sim. Porém`, existem outras legislações que poderão ser aplicadas em casos específicos.
O Marco Civil da Internet (MCI) é um exemplo clássico de legislação que, apesar de não conceituar o tratamento de dados pessoais, prevê aplicações de sanções pelo descumprimento das obrigações relativas à (i) proteção aos registros, aos dados pessoais e às comunicações privadas, (ii) à guarda de registros de conexão, e (iii) à guarda de registros de acesso a aplicações de internet na provisão de aplicações.
Vale frisar que o MCI estabelece princípios, garantias, direitos e deveres para o uso da internet no Brasil, logo, as sanções previstas nesta legislação só poderão ser aplicadas no âmbito da internet, não abrangendo violação ao tratamento de dados pessoais em outras situações.
Em conformidade com as definições e conceitos trazidos pela LGPD, considera-se dado pessoal quaisquer informações que identificam direta ou indiretamente uma pessoa natural, logo, registros de conexão ou registros de acesso a provedores de aplicações também são considerados dados pessoais nos termos do ordenamento jurídico brasileiro.
O MCI também prevê que é direito do usuário o não fornecimento dos seus dados pessoais, inclusive registros de conexão e de acesso a aplicações de internet, corroborando com o conceito de proteção de dados pessoais trazido pela LGPD.
Vale ainda mencionar que, em suma, tratamento de dados pessoais significa qualquer ação praticada com o dado pessoal, podendo ser desde a coleta dos dados até a sua efetiva exclusão ou descarte.
Dito isto, as sanções administrativas previstas no Marco Civil da Internet são:
- advertência, com indicação de prazo para adoção de medidas corretivas;
- multa de até 10% (dez por cento) do faturamento do grupo econômico no Brasil no seu último exercício, excluídos os tributos, considerados a condição econômica do infrator e o princípio da proporcionalidade entre a gravidade da falta e a intensidade da sanção;
- suspensão temporária das atividades;
- proibição de exercício das atividades.
Sendo assim, eventuais violações ao tratamento de dados pessoais realizado no âmbito da internet poderão ser penalizadas pelas sanções administrativas previstas no Marco Civil da Internet por órgãos institucionais como Anatel ou Secretaria Nacional do Consumidor, a depender do tipo de violação e do titular dos dados pessoais afetado.
Por fim, as empresas em geral não podem cair na ilusão de que estão livres de sofrer sanções relacionadas à proteção de dados pessoais até agosto de 2021, levando-se em consideração apenas à LGPD, quando na verdade precisam estar atentas às diversas peculiaridades relacionadas ao tema, considerando que em casos específicos outras legislações poderão ser aplicadas, como é o caso do Marco Civil da Internet, quando o tratamento de dados é realizado na rede mundial de computadores.
(*) – É advogado e DPO do escritório Cerqueira Leite Advogados.