Tendo em vista o cenário atual das leis de privacidade brasileiras e europeias e considerando os crescentes riscos de vazamento de dados e ataques invasivos, como ransomware, as empresas devem tomar certas medidas para proteger seus ativos e cumprir os requisitos de regulamentação de privacidade, a fim de mitigar riscos, potenciais custos, processos judiciais, danos à reputação e sanções legais, entre outras possíveis consequências.
Em 2018, o Governo Brasileiro adotou a Lei n° 13.709, comumente referida como Lei Geral de Proteção de Dados (“LGPD”). Essa legislação, inspirada no Regulamento Geral de Proteção de Dados (“GDPR”) da União Europeia, foi promulgada em 2016, impondo obrigações e deveres às empresas brasileiras e entidades estrangeiras que realizam negócios no Brasil.
Embora essas legislações compartilhem várias semelhanças, existem diferenças nas possíveis sanções às quais uma empresa pode estar sujeita no Brasil e na Europa.
Ambas as jurisdições conferem às autoridades administrativas o poder de impor advertências, multas, medidas corretivas, fiscalização e sanções. Porém, no GDPR[1] por exemplo, as multas poderão ser de até 20 milhões de euros ou até 4% do faturamento anual global do ano fiscal anterior (o que for maior) por infração, dependendo da gravidade da violação. Na LGPD, as multas são de até 2% da receita da sociedade, grupo ou conglomerado auferido no ano anterior à investigação, excluídos os impostos, com um máximo de R$ 50.000.000 por infração.
Além disso, a LGPD estabelece dois tipos de multas monetárias – a simples e a diária[2] – aplicáveis apenas a entidades privadas. O GDPR, por sua vez, estabelece uma única categoria de multas administrativas aplicável tanto a organizações privadas quanto a órgãos governamentais.
Para fixar melhor as distinções, comparamos abaixo as principais sanções administrativas impostas pelo GDPR e LGPD:
Além das sanções administrativas acima mencionadas, os indivíduos afetados por roubo de identidade ou acesso não autorizado às suas contas após um vazamento de dados, por exemplo, poderão, em ambas as jurisdições, buscar responsabilização civil das empresas perante os tribunais, requerendo indenização.
Em resumo, tanto a LGPD no Brasil quanto o GDPR na Europa preveem uma série de sanções e penalidades para garantir a conformidade com as leis de proteção de dados e defender os direitos dos indivíduos à privacidade e proteção de dados. Países europeus, como França, Alemanha, Reino Unido, Itália e Irlanda, são conhecidos por sua rigorosa aplicação das leis de proteção de dados. A autoridade francesa (CNIL), por exemplo, é reputada por aplicar sanções severas e significativas, com casos notáveis, como as multas pesadas
impostas ao Google e à Amazon por violações de consentimento e uso de cookies[4]. No Brasil, apesar da mais recente criação e consolidação da ANPD, demonstra-se também um rigoroso compromisso na aplicação da LGPD.
Por fim, importante salientar a dupla obrigação de cumprimento tanto com a LGPD quanto com o GDPR para uma empresa constituída na França, por exemplo, e que tenha subsidiárias no Brasil.
Abordar as nuances específicas da LGPD exige, portanto, uma abordagem de conformidade sob medida para além de uma mera replicação do GDPR. A parceria com a DataTeam da GT Lawyers é uma salvaguarda contra potenciais custos de compensação e sanções acima mencionadas, seja no nível administrativo ou em processos judiciais.
[1] Diferente do que ocorre na LGPD, no GDPR existem dois níveis de multas: (i) multas administrativas para infrações menos graves, que podem chegar a 10 milhões de euros ou 2% do volume de negócios anual global (o que for maior), e (ii) multas para infrações mais graves, que podem alcançar 20 milhões de euros ou 4% do volume de negócios anual global (o que for maior). A determinação do tipo e do valor da multa considera fatores como a natureza, gravidade e duração da violação, o grau de cooperação com as autoridades de controle, o impacto nos direitos das pessoas afetadas e quaisquer medidas adotadas para mitigar a violação.
[2] A multa simples é uma penalidade única para uma violação específica da LGPD, enquanto a multa diária é aplicada continuamente até que a determinação da autoridade seja cumprida pela empresa. Embora o GDPR não mencione explicitamente ‘multa diária’, ele permite que as autoridades apliquem sanções repetidamente em casos de não conformidade contínua, desempenhando, na prática, um papel semelhante ao de uma ‘multa diária’.
[3] A publicidade da violação, após devidamente investigada e confirmada pela autoridade, não é uma das sanções aplicáveis sob o GDPR, como previsto na LGPD. Por exemplo, a Autoridade Brasileira (ANPD) pode exigir que a decisão seja publicada no próprio site da empresa infratora, em jornais de ampla circulação ou em outros meios relevantes, dependendo do alcance necessário para garantir a publicidade adequada da condenação. No entanto, tanto a LGPD quanto o GDPR enfatizam a importância da transparência e da conscientização pública quando se trata de proteger os direitos à privacidade e dados pessoais. Nesse sentido, essas leis exigem que os indivíduos sejam notificados em caso de certas violações de dados.
[4] Disponível em: https://www.cnil.fr/en/cookies-council-state-confirms-2020-sanction-imposed-cnil-against-amazon e https://privacyinternational.org/news-analysis/4347/cnil-fines-google-and-amazon-unlawful-use-cookies.
