Qual é o principal ponto de convergência entre o Facebook, o Google, a British Airways e o Uber? Todas essas empresas sofreram multas elevadíssimas pelo GDPR (US$5 bilhões, US$50 milhões, 183 milhões de euros e US$148 milhões, respectivamente).
Na mesma trilha, quais são os pontos de convergência entre o Ministério da Saúde, a Secretaria de Estado da Saúde de Santa Catarina, a Secretaria de Educação do Distrito Federal e as empresas Telekall, Leroy Merlim, Privalia e Centauro? Todas elas são objeto de processo sancionatório por parte da ANPD (Autoridade Nacional de Proteção de Dados Brasileira) e/ou foram autuados por este órgão.
Mas como dosar as penas e multas, as quais podem chegar a 2% do faturamento global anual da empresa ou até R$50 milhões/dia?
A Resolução 04/ANPD a qual passou a vigorar em 23.02.2023 resolveu essa problemática. Este novo regulamento expressa as alíquotas mínimas e máximas para a definição do valor base da multa. Elas começam em 0,08% a 0,15% do faturamento nas infrações leves, 0,13% a 0,50% nas médias, e 0,45% a 1,5% nas graves. A LGPD já prevê que as multas podem chegar a 2% do faturamento, até o teto de R$ 50 milhões.
O regulamento classifica infrações em leve, média ou grave. A leve é quando não forem verificadas nenhuma das hipóteses dos casos médios ou graves – lembrando que a LGPD já indicou que a escala de multas começa em R$ 1 mil para pessoas físicas e R$ 3 mil para pessoas jurídicas, no caso de infrações consideradas leves; médias e graves têm pena mínima de R$ 2 mil e R$ 4 mil para pessoas físicas, R$ 6 mil e R$ 12 mil para as empresas.
A partir daí, o regulamento traz uma tabela para definição do grau de dano, que vão de 0 (danos insignificantes aos titulares) a 3 (lesões com impactos irreversíveis ou de difícil reversão, ou litigância de má-fé), com os graus 1 e 2 relativos à escala progressiva do 0 a 3.
Além das multas pecuniárias, a norma prevê medidas como publicização das condutas, bloqueio e eliminação de dados pessoais, suspensão parcial do funcionamento do banco de dados, suspensão do exercício de tratamento de dados, proibição parcial ou total das atividades relacionadas ao tratamento de dados. Reincidências e cumprimentos parciais de medidas ensejam aumentos de 5% a 90% no valor das multas aplicadas. Atenuantes podem reduzir o valor de 5% a 75%. Renúncia expressa ao direito de recorrer garante redução de 25%.
Ressalte-se que, sem prejuízo da aplicação de sanções fundamentadas na Resolução ANPD n°04 (processo administrativo) as quais poderão ser realizadas única e exclusivamente pela ANPD, mesmo antes da vigência da LGPD, o Ministérios Público e Procons haviam penalizado organizações que não tiveram o devido cuidado com os dados sob sua custódia ou que os trataram de forma indevida por meio de sanções administrativas previstas pelo Código de Defesa do Consumidor e por outras leis.
A sociedade civil está, cada vez mais consciente de seus direitos e as leis também o fazem. Já é mais do que chegado o momento de as empresas e órgãos públicos atentarem à efetiva proteção de dados pessoais entre os direitos e garantias fundamentais e consagrado pela Emenda Constitucional 115/2022, bem como ao direito à privacidade previsto no artigo 12 da Declaração Universal de Direitos Humanos, de 1948 prevendo que “Ninguém será sujeito a interferências em sua vida privada, em sua família, em seu lar ou em sua correspondência, nem a ataques à sua honra e reputação”.
Digna de aplausos a afirmativa do sr Edward Snowden no seguinte sentido “Privacidade não é sobre ter algo a esconder. É sobre ter algo para proteger. E esse algo é quem você é. É algo em que você acredita. É quem você quer se tornar. Privacidade é o direito de si mesmo. É o que lhe permite compartilhar com o mundo quem você é nos seus próprios termos.”
Não existe almoço de graça: afinal, se é gratuito, é porque o produto somos nós, ou melhor, os nossos dados
