A Autoridade Nacional de Proteção de Dados (ANPD) publicou hoje, 27 de fevereiro, o documento que permite que a autarquia comece a atuar contra os infratores à Lei Geral de Proteção de Dados. Estamos falando do aguardado Regulamento de Dosimetria e Aplicação de Sanções Administrativas da ANPD (Resolução n. 4, de 24/2/2023).
A partir de hoje, portanto, as sanções administrativas previstas na LGPD podem ser aplicadas às entidades desportivas. Estas são as sanções previstas:
- Advertência, com indicação de prazo para adoção de medidas corretivas;
- Multa simples, de até 2% do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 por infração;
- Multa diária, observado o mesmo limite total referido acima;
- Publicização da infração após devidamente apurada e confirmada a sua ocorrência;
- Bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
- Eliminação dos dados pessoais a que se refere a infração;
- Suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;
- Suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 meses, prorrogável por igual período;
- Proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
Nós já falamos sobre a LGPD nesta coluna algumas vezes, inclusive para frisar que a Lei pode ser muito mais que um emaranhado de obrigações; pode ser uma bela oportunidade. Mencionei que, em geral, as normas de proteção de dados, não só a LGPD, têm a dupla função de buscar a garantia da privacidade e de outros direitos fundamentais e fomentar o desenvolvimento econômico.
Essa “faceta” da LGPD é uma das formas de incentivo ao seu cumprimento. A outra é pela “dor”, ou seja, pela aplicação das sanções. É justamente o que pode acontecer a partir de hoje.
Já imaginou um clube ou uma federação proibidos de exercer atividades com dados pessoais?
Importante ressaltar que as infrações à LGPD não se limitam ao famoso vazamento de dados pessoais. A entidade desportiva pode ser punida por ofensa à um princípio eventualmente não observado em determinada atividade de tratamento. Ao tecer comentários sobre os princípios da finalidade e da adequação (LGPD, artigo 6º, incisos I e II, respectivamente), a FIFA os exemplifica com a seguinte situação: “se os dados para a compra de um ingresso de evento foram coletados para a única finalidade de emissão do referido bilhete e o comprador não foi informado o uso posterior de seus dados pessoais, esses dados pessoais não podem ser usados para outros fins, por exemplo, a revenda a um patrocinador oficial para fins de marketing[1]”.
Assim, a entidade desportiva que coletar dados pessoais informando ao titular que o faz com a finalidade de emissão de um ingresso (finalidade perfeitamente alinhada à base legal da execução de contrato, prevista na LGPD no artigo 7º, inciso V) e proceder a um tratamento secundário de tais dados pessoais (como o marketing, por exemplo, que também é hipótese válida para o tratamento de dados pessoais prevista no artigo 7º, inciso IX – legítimo interesse do controlador), tal entidade estará em desacordo com a LGPD e estará, portanto, passível de sofrer uma sanção.
Isso porque, mesmo que ambos os tratamentos estejam sustentados por uma das bases legais que autorizam tais tratamentos, o segundo tratamento foi feito sem a observância dos princípios da finalidade e da adequação.
A multa é a sanção mais frequentemente aplicada pelas autoridades europeias de proteção de dados pessoais[2]; é esperado que cenário similar seja observado no Brasil, já que a LGPD é fortemente baseada nas normas europeias de proteção de dados pessoais, notadamente o Regulamento Geral de Proteção de Dados, o GDPR.
Assim, é possível presumir que às entidades desportivas serão aplicadas sanções pecuniárias em razão de eventuais incidentes com dados pessoais, ao menos no primeiro momento. A aplicação deste tipo de sanção, por si só, já é pode ser uma considerável ameaça às entidades, já que estas, frequentemente, acumulam dívidas expressivas, que dificultam a execução das suas atividades rotineiras.
Nos siga nas redes sociais: @leiemcampo
[1] Em tradução livre do original: If data for the purchase of an event ticket was collected for the sole purpose of issuing said ticket and the purchaser has not been made aware of the further usage of their Personal Data, that Personal Data may not be used for other purposes, i.e. resale to an official sponsor for marketing purposes. FIFA. Data Protection Regulations. October 2019 edition. Disponível em: <https://digitalhub.fifa.com/m/787f00d0380f4120/original/dr9labmtd63ctx6o3erk-pdf.pdf>.
[2] De acordo com o relatório anual produzido pelo Conselho Europeu de Proteção de Dados em 2021, disponível em https://edpb.europa.eu/system/files/2022-05/edpb_annual_report_2021_en.pdf.
