LGPD: entenda as punições e implicações por não cumprimento da lei, por Rodrigo Carvalho*
/ A Lei Geral de Proteção de Dados Pessoais (LGPD) é aplicável às pessoas físicas e jurídicas de direito público ou privado, prevendo expressamente a possibilidade de condenação judicial dos agentes de tratamento de dados pessoais para reparação dos danos causados aos titulares. Por meio da Autoridade Nacional de Proteção de Dados Pessoais (ANPD), a lei prevê sanções administrativas que vão desde advertência até suspensão e bloqueio do banco de dados referente às infrações.
Especificamente em relação ao tratamento ilegal de dados pessoais pelo poder público, a LGPD não impõe sanções administrativas que acarretem multas. No caso das instituições privadas, porém, elas podem chegar a R$ 50 milhões por infração.
Em que pese o afrouxamento pecuniário, o órgão público não está imune ou livre de ações coercitivas. Em caso de infrações, a ANPD poderá enviar informe com medidas cabíveis para fazer cessar as violações de dados que forem constatadas (art. 31, LGPD), bem como solicitar aos agentes públicos a publicação de relatórios de impacto à proteção de dados pessoais e sugerir a adoção de padrões e de boas práticas para o tratamento de dados pessoais pelo poder público (art. 32, LGPD).
A LGPD declara, em seu art. 23, que o tratamento de dados pessoais pelas pessoas jurídicas de direito público deverá ser realizado para o atendimento de sua finalidade pública, na persecução do interesse público, com o objetivo de executar as competências legais ou cumprir as atribuições legais do serviço público.
Quando o agente público realiza tratamento de dados pessoais sem indicar um encarregado por sua proteção, ou em desconformidade com as demais disposições da LGPD, estará cometendo ato de improbidade administrativa, conforme previsto na Lei 8.429/1992.
Havendo condenação com trânsito em julgado, independentemente das sanções penais, civis e administrativas previstas na legislação específica, está o responsável pelo ato de improbidade sujeito às seguintes cominações, que podem ser aplicadas isolada ou cumulativamente, de acordo com a gravidade do fato:
- Ressarcimento integral do dano, se houver;
- Perda da função pública;
- Suspensão dos direitos políticos de três a cinco anos;
- Pagamento de multa civil de até cem vezes o valor da remuneração percebida pelo agente e proibição de contratar com o poder público, receber benefícios ou incentivos fiscais ou creditícios, direta ou indiretamente, ainda que por intermédio de pessoa jurídica da qual seja sócio majoritário, pelo prazo de três anos.
A autoridade judicial ou administrativa competente poderá ainda determinar o afastamento do agente público do exercício do cargo, emprego ou função, sem prejuízo da remuneração, quando a medida se fizer necessária à instrução processual, ou seja, antes do trânsito em julgado de processo judicial (parágrafo único do art. 20 da Lei de Improbidade Administrativa).
O procedimento administrativo para investigação dos atos de improbidade em relação às normas da LGPD pode ser iniciado por qualquer pessoa (art. 14 da Lei de Improbidade Administrativa), independentemente da efetiva instalação da Autoridade Nacional de Proteção de Dados, especialmente para as disposições que independem de atos de regulamentação para sua eficácia plena.
*Rodrigo Carvalho é arquiteto sênior de Soluções de Segurança da Informação da Service IT Security