O Código de Defesa do Consumidor e a Lei Geral de Proteção de dados: sanções administrativas e criminais

Bárbara Limonta Rosa. Bacharela em Direito pela Universidade Federal de Pelotas. Pós-graduanda em Direito Penal Econômico e em Direito Processual Penal. Assistente de Recursos na Empresa Doutor Multas (limontabarbara@hotmail.com)

A Lei Geral de Proteção de Dados (13.709/18), foi sancionada em 2018 e é um marco legal para a proteção de dados pessoais, tais como o nome, endereço, idade, e-mail e patrimônio dos titulares, visando a transparência da coleta que é realizada, tanto por pessoas naturais, quanto jurídicas, e a prestação de informações, aos titulares, sobre o tempo e finalidade da coleta de tais dados.

A Lei estipulou uma vacatio legis de 24 meses, de acordo com o art. 65, inciso II, incluído pela Lei 13.853/19, especialmente para que as empresas e os responsáveis pela coleta de dados se adequem à nova realidade, bem como, para que a Autoridade Nacional de Proteção de Dados seja criada e esteja em pleno funcionamento (art. 55-A, 13.709/18). Logo, a LGPD deveria entrar em vigor em agosto do presente ano.

Ocorre que está em tramitação, na Câmara dos Deputados, do Projeto de Lei nº 5762/19, cujo intuito é aumentar o prazo de vigência da LGPD, estendendo-o em mais 24 meses. Portanto, o Projete prevê que a Lei Geral de Proteção de Dados entre em vigor somente em agosto de 2022. Por ora, isso está sendo analisado pela Comissão de Constituição e Justiça e de Cidadania e, após, irá à Plenário.

Em que pese a discussão acerca da data de vigência da LGPD, certo é que pessoas naturais e pessoas jurídicas, que se utilizam de dados de usuários dos seus serviços, deverão se adequar à essa nova realidade. Realidade essa que é muito bem-vinda, vez que os dados pessoais dos titulares devem ser amplamente protegidos e resguardados, já que são verdadeiras espécies de direitos fundamentais. (DONEDA, 2011)

Por isso, a empresa que não se adequar aos ditames da LGPD, após o prazo definido, poderão ser penalizadas com multas elevadas, as quais variam de 2% do faturamento bruto, até R$50 milhões (cinquenta milhões de reais), por infração, conforme estipula o art. 52, inciso II, da Lei 13.709/18. A Lei, portanto, trouxe sanções administrativas, que foram dispostas nos incisos do art. 52, porém, não trouxe nenhuma responsabilidade penal a aquele que descumpre com os ditames da LGPD.

Todavia, o responsável pela coleta de dados deve ficar atento. Isso porque, embora a Lei 13.709/18 não tenha disciplinado nenhuma sanção de natureza criminal, a prática de determinadas condutas, pelo sujeito ativo, pode se adequar a alguns tipos penais, previstos, principalmente, no Código de Defesa do Consumidor, vejamos:

 

 Art. 72, CDC. Impedir ou dificultar o acesso do consumidor às informações que sobre ele constem em cadastros, banco de dados, fichas e registros:

Pena Detenção de seis meses a um ano ou multa.

 

 Art. 73, CDC. Deixar de corrigir imediatamente informação sobre consumidor constante de cadastro, banco de dados, fichas ou registros que sabe ou deveria saber ser inexata:

Pena Detenção de um a seis meses ou multa.

 

Assim, esses crimes podem ser caracterizados, no âmbito do descumprimento da LGPD, especialmente no que concerne à obrigatoriedade de observação, pela empresa ou pela pessoa física, dos princípios da boa-fé e dos demais que estão explícitos nos incisos do art. 6º, da Lei 13.709/18, especialmente no que concerne:

 

1. Ao princípio da qualidade dos dados, cujo intuito é garantir, aos titulares, a exatidão, clareza, relevância e utilização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento; e
2. Ao princípio da transparência, que garante, aos titulares, informações claras e precisas sobre a realização do tratamento, as quais devem ser facilmente acessíveis.

 

Outrossim, a LGPD traz, em seu art. 18, o direito que tem o titular dos dados de obter, do controlador, a qualquer momento e mediante requisição, a confirmação da existência de tratamento, o acesso aos dados, a correção de dados incompletos, inexatos ou desatualizados e a eliminação dos dados pessoais tratados.

É de extrema importância, portanto, a adequação de empresas, startups, pessoas físicas e jurídicas, às diretrizes trazidas pela Lei Geral de Proteção de Dados, acaso funcionem mediante a coleta de dados pessoais de seus clientes e usuários. Isso porque, além das sanções administrativas que serão aplicadas pela Autoridade Nacional de Proteção de Dados, poderá coexistir, junto a essa penalidade, a responsabilização no âmbito criminal.

Desse modo, em que pese a atual discussão sobre a vigência da LGPD, certo é que as empresas deverão se adequar a essa nova realidade, especialmente diante das sanções administrativas, previstas na Lei 13.709/18, e das sanções criminais estipuladas no CDC, que podem ser fruto de condutas praticadas em desconformidade com os preceitos e diretrizes estampados na Lei Geral de Proteção de Dados.

A pessoa física ou jurídica, pelo menos por ora, tem até agosto de 2020 para adequar seus sistemas de coleta de dados à LGPD. Quanto a extensão de tal prazo em mais 24 meses, devemos aguardar a aprovação do PL nº 5762/19 que, ainda, está sob análise da Comissão de Constituição e Justiça e Cidadania.

 

Referências

BRASIL, 1990. Lei 8.078/90. Disponível em: <<http://www.planalto.gov.br/ccivil_03/leis/l8078.htm>>. Acesso em 26 de abr. de 2020.

 

BRASIL, 2018. Lei 13.709/18. Disponível em: <<http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709.htm>>. Acesso em 26 de abr. 2020.

 

DONEDA, Danilo. A Proteção dos dados pessoais como um Direito Fundamental. Espaço Jurídico Joaçaba, v. 12, n. 2, p. 91-108, jul./dez. 2011.

 

MACHADO, Ralph. Proposta adia para 2022 a vigência da Lei Geral de Proteção de dados. Câmara dos Deputados. 2020. Disponível em: <<https://www.camara.leg.br/noticias/626827-proposta-adia-para-2022-a-vigencia-da-lei-geral-de-protecao-de-dados-pessoais>>. Acesso em 26 de abr. 2020.