PL 3.420/2019: substitutivo determina alterações de critérios de multas aplicadas em caso de vazamento de dados pessoais

PL 3.420/2019: substitutivo determina alterações de critérios de multas aplicadas em caso de vazamento de dados pessoais

O Projeto de Lei nº 3.420/2019 (“PL 3.420/2019”), originalmente apresentado em junho de 2019 pelo deputado Heitor Freire, do PSL/CE, previa a alteração da Lei Geral de Proteção de Dados brasileira (Lei nº 13.709/2019 – “LGPD”) para limitar a multa aplicada às entidades de direito privado em caso de vazamento de dados pessoais, devido à indefinição do conceito “por infração” trazida no texto do artigo 52 da LGPD.

Isso porque a sanção administrativa de multa simples de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais), por infração, poderia trazer insegurança jurídica e desestimular o desenvolvimento de segmentos comerciais que tratem dados, por impossibilitar a aferição da extensão de eventuais impactos financeiros para a atividade que envolva dados pessoais e que possa incorrer em penalidades.

Ademais, a apenas 10 (dez) meses da entrada em vigor da Lei Geral de Proteção de Dados brasileira (LGPD), o deputado federal Relator Luis Miranda, do DEM/DF, apresentou parecer e substitutivo para modificar integralmente o projeto referido acima. Sujeito à apreciação conclusiva das Comissões que o analisarão, o substitutivo consignou que a LGPD, na forma em que aprovada, já estabelece salvaguardas suficientes para garantir que o cálculo e aplicação das multas não seja abusivo – como, por exemplo, ao determinar que a Autoridade Nacional de Dados Pessoais (ANPD) será responsável por definir as metodologias de penalidades. Portanto, sugeriu-se que fosse mantido o termo “por infração”.

Contudo, o substitutivo reforçou a necessidade de detalhamento das sanções aplicáveis às empresas em caso de reincidência de condutas infracionais – principalmente a reiteração de vazamentos de dados pessoais –, de modo a impedir que grandes empresas se valham de seu poder econômico para agir em desconformidade com a lei, por considerarem que o prejuízo das multas é inferior ao benefício econômico a ser auferido através de práticas ilícitas e não protetivas com relação aos dados pessoais. Neste sentido, a proposição substitutiva pretende dobrar o valor das multas aplicadas em casos de incidentes de segurança quando houver reincidência dessa infração.

O projeto, com a alteração proposta, tem sido alvo de críticas não apenas de grandes empresas, temerosas pelas excessivas penalidades que podem advir dessa proposição, mas também de pequenos e médios negócios, que poderão sofrer grandes impactos econômicos e financeiros se tal medida for adotada, podendo culminar até mesmo no fim de suas atividades. Ainda, o substitutivo tem sido censurado por alguns cidadãos e especialistas de Direito Digital – defensores de uma “reeducação” sobre proteção de dados pessoais antes da aplicação de sanções –, que frisam a necessidade de se priorizar a adoção de padrões corretivos de caráter pedagógico e socioeducativo, que estimulem as boas práticas das empresas, em vez da aplicação de um modelo regulatório e fiscalizatório punitivo.

É interessante notar que, embora a Autoridade Nacional de Proteção de Dados Brasileira (“ANPD”) já tenha sido criada através da Lei nº 13.853/2019 e esteja sendo gradualmente formada, sua inatividade até o momento tem dificultado a conscientização das empresas sobre a necessidade de se adequarem às exigências da LGPD, mormente na adoção de uma cultura interna sobre proteção de dados pessoais.

Além disso, saliente-se que outras propostas de grande impacto têm surgido para tentar alterar a LGPD. O Projeto de Lei nº 5.762/2019 (PL 5.762/2019), por exemplo, pretende prorrogar a data de entrada em vigor da LGPD em 2 (dois) anos – ou seja, a lei passaria a viger apenas em 2022. Embora ambas as propostas mereçam críticas ao seu conteúdo, o PL 5.762/2019 difere radicalmente do PL 3.420/2019, já que o primeiro pretende prorrogar o prazo de vigência da LGPD sob a justificativa do temor das empresas grandes, médias e pequenas com relação à aplicação de sanções; enquanto o último planeja dobrar o valor das multas cominadas às companhias, em caso de reincidência de incidentes de segurança, consolidando e reforçando o pânico das empresas no âmbito financeiro e econômico.

Portanto, para se criar um ambiente menos predatório às empresas e garantir a finalidade educativa estabelecida na LGPD, é essencial reforçar a necessidade de conscientização e cultura de proteção de dados pessoais pelos titulares de dados, pelas empresas e pelas próprias autoridades e órgãos fiscalizatórios, antes de uma distribuição desenfreada (e potencialmente excessiva) de multas e sanções dobradas. Anseia-se que a ANPD siga por essa mesma lógica de pensamento e atue de maneira protetiva e justa quando da emissão de suas diretrizes e recomendações, seguindo a essência da LGPD.

Confira a íntegra do PL 3.420/2019 (original) aqui.

Confira a íntegra do PL 3.420/2019 (substitutivo) aqui.

Para receber as principais novidades do cenário legislativo relacionado à privacidade e proteção de dados, em âmbito nacional e internacional, acompanhe a equipe de Tecnologia, Mídia e Telecomunicações do Azevedo Sette Advogados.