As multas, certamente, são as mais “famosas” de todas as sanções administrativas que poderão ser aplicadas aos agentes de tratamento de dados pessoais em razão de infrações cometidas às normas previstas na Lei Geral de Proteção de Dados (LGPD).
E o valor é a principal razão para essa fama: as multas da LGPD podem chegar a R$ 50.000.000,00 (cinquenta milhões de reais) por infração. Isso mesmo, R$ 50.000.000,00 (cinquenta milhões de reais)! O número assusta, mas é bom ressaltar que empresas de pequeno e médio porte dificilmente serão punidas de maneira tão pesada.
Lendo este artigo você saberá mais sobre as multas na LGPD: a quem se aplicam, valores, base de cálculo e as polêmicas que existem a respeito.
Um detalhe importante sobre algo que ainda está pendente no contexto de regulação da LGPD: espera-se que ainda no começo de 2022 a Autoridade Nacional de Proteção de Dados (ANPD) divulgue as regras específicas para o cálculo (dosimetria) das multas.
Ah, antes de prosseguir, não se esqueça de conferir nosso conteúdo sobre o processo administrativo sancionador para entender melhor toda a sistemática de aplicação das multas da LGPD e demais penalidades previstas na lei.
Índice
Os debates no Congresso Nacional
Os debates no Congresso Nacional que resultaram no projeto de lei que que deu origem ao texto da LGPD se estenderam por mais de 10 anos. Durante esse período, deputados e senadores discutiram junto à sociedade civil questões específicas da nova legislação e muitas das controvérsias giraram em torno das sanções administrativas, havendo, inclusive, outros projetos de lei que tratam do tema.
É o caso do PLS 330/2013, de iniciativa do Senador Antônio Carlos Valadares, que continha um capítulo específico para as sanções administrativas. O projeto admitia a cumulatividade de penas e a imposição cautelar das penalidades de advertência e suspensão temporária, além de um escalonamento quantitativo para as multas que oscilava de R$ 1.000,00 (mil reais) a R$ 20.000,00 (vinte mil reais).
Já o PLS 181/2014, de iniciativa do Senador Vital do Rego, também admitia a cumulatividade de penas e fixava limites para a pena pecuniária de multa.
Em 2016, após extensa consulta pública, foi apresentado o anteprojeto da LGPD, o PL 5276. No que se refere às multas, o texto sofreu alterações e, incialmente, não se previam parâmetros, limites e nem valores para a aplicação desse tipo de sanção.
Assim, até que se chegasse ao texto atual, as propostas para a normatização dos valores das multas na LGPD “flutuaram” por diversos modelos.
Desde os 5% (cinco por cento) do faturamento do grupo econômico no Brasil no último exercício (excluindo-se os tributos), passando pela fixação de um limite de 100 (cem) salários mínimos e culminando com o que se tornou o ponto de chegada da lei, com multas de até 2% (dois por cento) do faturamento e limitadas aos já citados R$ 50.000.000,00 (cinquenta milhões de reais) por infração.
Os dois tipos de multas da LGPD
São previstos dois tipos de multa na LGPD: a multa simples e a multa diária, ambas com a mesma previsão de valores, mas com naturezas distintas.
Ao comentar o Capítulo VIII da LGPD, que trata da fiscalização, como visto em conteúdo anterior deste blog, Fabricio da Mota Alves, Conselheiro Nacional de Proteção de Dados Pessoais e da Privacidade da ANPD, destaca que o tema “multa” tem plurissignificação, podendo ser entendido como “pena pecuniária a quem infringe leis ou regulamentos” ou “qualquer sanção que é aplicada com o fim de reparar um ato considerado repreensível”[1].
Nas palavras desse autor, a multa “é amplamente adotada como instrumento acessório de natureza coercitiva (para compelir o cumprimento de determinação convencional, legal ou judicial), ou de natureza compensatória (quando se destina a indenizar pelo inadimplemento de obrigação devida)”.
A LGPD reflete, exatamente, essa plurissignificação do conceito de multa. Como? Vamos ver!
A multa simples (artigo 52, II) tem caráter indenizatório ou ressarcitório e seu objetivo é compensar o cometimento de uma infração, sendo, desse modo, uma imposição de pena como resposta jurídica a um ato ilícito.
Já a multa diária (artigo 52, III) tem outra natureza, a de medida coercitiva para forçar o cumprimento de uma obrigação imposta pela lei. Trata-se, grosso modo, da mesma técnica utilizada para compelir alguém a cumprir uma decisão judicial.
Em outras palavras, as duas multas previstas na LGPD são consequência do descumprimento de uma obrigação legal, mas, ao contrário da multa simples, o propósito da multa diária não é a obtenção de indenização, e sim a imposição, ao infrator, de um comportamento específico, que pode ser, aliás, a abstenção de praticar determinada conduta.
Aplicabilidade
A LGPD traz alguns parâmetros para a aplicabilidade das multas. Falaremos sobre eles neste tópico.
É aqui que se encaixa a pendência normativa que comentamos no início deste texto: a Autoridade Nacional de Proteção de Dados ainda divulgará regras específicas para o cálculo (dosimetria) das multas.
São estes os parâmetros contidos na LGPD relativamente às multas:
a) Valor
A lei estabelece, para as multas, um limite de 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no último exercício, excluídos os tributos, até o montante máximo de R$ 50.000.000,00 (cinquenta milhões de reais).
Como se vê, o expressivo valor de R$ 50.000.000,00 (cinquenta milhões de reais) é um subteto ao teto de 2% (dois por cento), é dizer, a multa pode chegar a até 2% (dois por cento) do faturamento líquido do agente de tratamento, mas, quando tal percentual for superior a essa quantia, ela será o limite.
Inspirado nos parâmetros europeus, tal limite objetiva conferir equilíbrio entre os interesses do agente de tratamento e do titular de dados pessoais, evitando que uma multa assuma proporções colossais, podendo determinar a ruína completa e, consequentemente, uma verdadeira proibição das atividades do agente de tratamento, o que não seria razoável.
Seja como for, é curioso notar que outras leis de setores igualmente regulados estabelecem valores ainda maiores. É o caso da Lei 12.529/11, a Lei de Defesa da Concorrência, que prevê multas de 0,1% (zero vírgula um por cento) a 20% (vinte por cento) do faturamento bruto da empresa e, no caso das demais pessoas físicas ou jurídicas que não exerçam atividade empresarial, multas de até R$ 2.000.000.000,00 (dois bilhões de reais).
b) Destinatários e base de cálculo
O artigo 3º da LGPD é bem claro ao estabelecer que a lei é aplicável a operações de tratamento de dados realizadas por pessoa natural ou pessoa jurídica. Ocorre que a penalidade de multa, tal como descrita no artigo 52, II, se aplica tendo por base de cálculo o “faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos”.
Ora, se a base de cálculo é o faturamento, isso significa que a LGPD impossibilita a aplicação de multa a pessoas físicas que realizem tratamento de dados com finalidade econômica? Um profissional autônomo ou um comerciante informal que lide com dados pessoais não poderia ser punido com multa, por exemplo?
A resposta para tais questionamentos é: não! No Direito, quando as normas possuem alguma lacuna aparente, uma das maneiras de corrigir esse “defeito” é interpretá-las em atenção à intenção que motivou a existência daquelas normas. E qual foi a intenção de impor uma pena pecuniária aos que cometem infrações? Punir somente empresas? Isso não faria sentido.
Logo, uma vez estabelecido que as multas também são aplicáveis a pessoas físicas, como lidar com a questão da base de cálculo? O mencionado autor Fabricio da Mota Alves apresenta uma proposta, que leva em conta a doutrina e a jurisprudência sobre interpretação extensiva de normas jurídicas. Para ele, deve-se utilizar como base de cálculo, para as pessoas naturais, a receita auferida em decorrência da atividade de tratamento de dados pessoais.
Assim, um médico que exerça a profissão como pessoa física poderia ser multado em até 2% (dois por cento) da receita decorrente da atividade profissional em que tratou o dado pessoal caso cometesse uma infração à LGPD.
c) A aplicação das multas “por infração”
A questão da recorribilidade da multa também fomenta debates. O artigo 52, II, da LGPD prevê que a multa será aplicada “por infração”. Porém, o que significa exatamente “por infração”? A depender da abrangência da interpretação que se dê à expressão, podemos estar diante de um risco gigantesco à atividade econômica do agente de tratamento de dados.
Imagine-se uma interpretação no sentido de que a infração tem por parâmetro o número de titulares afetados no caso de um vazamento de dados: cada titular lesado representaria uma infração punível com a multa.
E se o parâmetro for o número de incidentes de violação a direitos de proteção de dados ou o número de disposições violadas da LGPD?
Como o legislador não definiu expressamente o sentido da expressão “por infração”, há margem para interpretações distintas, e algumas bastante gravosas.
Seja como for, há de se fazer, sempre, o uso da razoabilidade na interpretação e aplicação das normas. O próprio § 1º do mesmo artigo 52 da LGPD fala em “proporcionalidade entre a gravidade da falta e a intensidade da sanção”.
Nessa linha, é razoável entender que a multa não deve ser aplicada a partir de uma avaliação singular de cada evento da infração, e sim a partir da avaliação de um conjunto de fatores, muitos deles explicitamente citados nesse mesmo § 1º do artigo 52: a gravidade e a natureza das infrações e dos direitos pessoais afetados, a condição econômica do infrator, o grau do dano, a adoção de política de boas práticas e governança, dentre outros.
Conclusão
As multas previstas na LGPD podem chegar a valores tão altos que a punição por uma infração à lei é capaz de inviabilizar por completo a atividade econômica de um agente de tratamento de dados.
A LGPD está em vigor desde agosto de 2020 e as penalidades podem ser aplicadas desde agosto de 2021. Esta data é altamente relevante, já que as multas por violação à lei podem ter efeito retroativo. É o que afirmou, em entrevista ao portal Valor Econômico, Waldemar Gonçalves Ortunho Junior, diretor-presidente da ANPD, responsável pela fiscalização e punição de eventuais incidentes.
Percebe o porquê de, mais do que nunca, as providências para a adequação à LGPD serem inadiáveis? Para saber mais sobre o processo de adequação você pode acessar nosso artigo sobre o tema, onde detalhamos cada uma das fases.
Esperamos que você tenha gostado deste conteúdo e que ele tenha valido o tempo que você dedicou para lê-lo!
Continue acompanhando nossas publicações sobre proteção de dados e inscreva-se para receber nossa newsletter.
Você também pode nos avaliar no Google, ficaremos muito felizes em saber a sua opinião sobre o nosso trabalho!
*Imagem de Getty Images, no Canva Pro.
[1] ALVES, Fabrício da Mota em LGPD: Lei Geral de Proteção de Dados Comentada. Coordenadores: Viviane Nóbrega Maldonado e Renato Opice Blum.2ª Edição. TR Revista dos Tribunais. São Paulo. 2020.
Trackbacks/Pingbacks