Eduardo Molan Gaban
Após o transcurso da vacatio legis, as sanções administrativas previstas na Lei Geral de Proteção de Dados (Lei nº 13.709/2018) entraram em vigor no último domingo, 01 de agosto de 2021. Embora essa lei já tenha sido publicada em 2018, apenas as previsões concernentes à Autoridade Nacional de Proteção de Dados (ANPD) e aos demais artigos – salvo as penalidades, dispostas nos artigos 52, 53 e 54 – estavam vigentes.
A partir de agora, as empresas alcançadas pelo escopo de incidência da LGPD estão sujeitas também às sanções administrativas pela prática de infrações das normas ali previstas. Tais sanções podem ser de natureza admoestativa, pecuniária e restritiva de atividades. Elas serão aplicadas somente pela ANPD e estão elencadas no artigo 52 da referida lei:
- advertência, com indicação de prazo para adoção de medidas corretivas;
- multa simples, de até 2% do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 por infração;
- multa diária, observado o limite total a que se refere o inciso II;
- publicização da infração após devidamente apurada e confirmada a sua ocorrência;
- bloqueio dos dados pessoais a que se refere a infração até a sua regularização e sua eliminação;
- suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 meses, prorrogável por igual período, até a regularização da atividade de tratamento;
- suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 meses, prorrogável por igual período;
- proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
A LGPD estabelece que a aplicação de sanções deve ser precedida do devido procedimento administrativo, garantindo-se a ampla defesa ao agente de tratamento de dados. Além disso, na dosimetria da sanção, devem ser observadas as peculiaridades do caso, sempre de acordo com o princípio da proporcionalidade, considerando-se a gravidade e a natureza das infrações e dos direitos pessoais afetados, a boa-fé do infrator, a vantagem por ele auferida, a condição econômica, a reincidência, o grau do dano, a cooperação do agente, a demonstração de adoção de mecanismos e procedimentos internos capazes de minimizar o dano voltados ao tratamento seguro e adequado de dados, bem como a adoção de política de boas práticas de governança e medidas corretivas.
Conforme prescrito pela LGPD, a ANPD deverá definir, por regulamento próprio sobre as sanções administrativas, as metodologias orientadoras do cálculo do valor-base das multas. Referidas metodologias devem ser previamente publicadas, na forma de consulta pública aberta aos agentes de tratamento de dados, apresentando objetivamente os critérios de forma e de dosimetria no cálculo da multa, além da fundamentação detalhada de todos os elementos nela utilizados. O regulamento deverá explicitar, ainda, as circunstâncias e condições para adoção de multa simples ou diária, sendo que esta deve observar a gravidade da falta e extensão do dano ou prejuízo causado.
Em que pese tal regulamento ainda não ter sido elaborado, nem levado à Consulta Pública, a ANPD, segundo sua Agenda Regulatória[1] e seu Relatório Semestral de Acompanhamento da Agenda Regulatória[2], está em fase de conclusão da elaboração do Regulamento de Fiscalização e Aplicação de Sanções Administrativas[3], que trata especificamente sobre as fases do processo administrativo sancionador, os direitos e deveres dos administrados. Tal Regulamento foi levado à Consulta Pública entre 28 de maio e 28 de junho de 2021 e obteve 1.831 contribuições de diversos setores da sociedade na Consulta Pública e 487 telespectadores simultâneos na Audiência Pública. Logo referido Regulamento será remetido ao Conselho Diretor da ANPD para deliberação e, com sua aprovação, passará a ter eficácia sobre todos os administrados.
Segundo a proposta de regulamento, a atuação da ANPD deve se dar de modo responsivo, adotando procedimentos de “monitoramento, orientação e atuação preventiva na sua atividade de fiscalização” (art. 14 da proposta do Regulamento) para os fatos ocorridos após 1º de agosto de 2021.
Entretanto, existe uma aparente obscuridade sobre a verdadeira data em que a ANPD passará a ter legitimidade para aplicar sanções administrativas. Se por um lado a LGPD condiciona a aplicação dessas sanções à existência daqueles regulamentos, por outro lado, essa mesma lei autoriza a aplicação dessas sanções a partir de 1º de agosto de 2021. Assim, verifica-se que a ANPD poderá sancionar os administrados entre 1º de agosto de 2021 até a data da aprovação daqueles regulamentos, mesmo na ausência de regulação sobre os procedimentos.
Não obstante essa aparente obscuridade em relação ao aspecto sancionador da ANPD, a Autoridade, além de ter publicado guia orientativo para definição das responsabilidades dos agentes de tratamento de dados pessoais e do encarregado[4], também tem promovido ações estratégicas visando o fortalecimento da cultura de Proteção de Dados Pessoais (Objetivo Estratégico 1), estabelecer ambiente normativo eficaz para a proteção desses dados (Objetivo Estratégico 2) e para aprimorar as condições para o cumprimento de suas competências legais (Objetivo Estratégico 3)[5].
Todavia, muito embora a normatização sobre o tratamento de dados fosse uma atitude há muito esperada como forma de proteção ao titular dos dados, ainda existe uma indeterminação sobre os cenários e instrumentos necessários para que se introduzam, na prática, os meios mais adequados para compliance com a LGPD. Em outras palavras, somente a experiência de aplicação da LGPD aos casos concretos pela ANPD viabilizará a criação do padrão brasileiro suficiente a mitigar a aplicação das sanções definidas pela LGPD.
Seja em razão desse fato, seja em decorrência da cultura local, conforme apontam as pesquisas[6], boa parte das empresas ainda não adequaram suas regras e normas corporativas aos termos da LGPD. Diante da falta de atualização dos programas de compliance de grande parte das empresas com as normas estabelecidas na LGPD, ao que tudo indica a ANPD irá adotar, num primeiro momento, uma postura de diálogo com os administrados e com outros órgãos públicos. Apenas em um segundo momento, a ANPD irá aplicar sanções mais severas, para além da advertência.
A LGPD prevê, ainda, que a ANPD articulará sua atuação com outros órgãos e entidades sancionatórias. Nesse sentido, pontue-se que a ANPD, por meio da sua unidade de Coordenação-Geral de Fiscalização, já possui acordos de cooperação técnica firmados com a Secretaria Nacional do Consumidor (SENACON), com o Conselho Administrativo de Defesa Econômica (CADE) e com o Núcleo de Informação e Coordenação do Ponto BR (NIC.br). Inclusive, já há casos sob análise da Autoridade envolvendo a atuação coordenada com os órgãos acima mencionados. Exemplo disso é a recomendação elaborada conjuntamente com o CADE, o Ministério Público Federal e a SENACON para o WhatsApp e Facebook sobre suas novas políticas de privacidade[7].
Além de indicar providências, recomendaram às empresas o adiamento da data de vigência da nova política até que fossem adotadas as recomendações sugeridas pelos órgãos reguladores. Tudo a fim de evitar possíveis violações aos direitos dos titulares de dados pessoais, bem como potenciais efeitos anticoncorrenciais ante a ausência de um design regulatório prévio. Além disso, atentou-se para a preocupação em relação à ausência de informações claras sobre os dados tratados e a finalidade das operações de tratamento ao consumidor.
[1] Disponível em: <https://www.in.gov.br/en/web/dou/-/portaria-n-11-de-27-de-janeiro-de-2021-301143313>. Acesso em: 02 de agosto de 2021.
[2] Disponível em: https://www.gov.br/anpd/pt-br/acesso-a-informacao/auditorias-acoes-de-supervisao-e-correicao/nota-tecnica-no-232021cgnanpd.pdf. Acesso em: 02 de agosto de 2021.
[3] Disponível em: <https://www.gov.br/anpd/pt-br/assuntos/noticias/anpd-abre-consulta-publica-sobre-norma-de-fiscalizacao/2021.05.29___Minuta_de_Resolucao_de_fiscalizacao_para_consultapblica.pdf>. Acesso em: 02 de agosto de 2021.
[4] Disponível em: <https://www.gov.br/anpd/pt-br/documentos-e-publicacoes/2021.05.27GuiaAgentesdeTratamento_Final.pdf>. Acesso em: 02 de agosto de 2021.
[5] Disponível em: <https://www.gov.br/anpd/pt-br/documentos-e-publicacoes/planejamento-estrategico/planejamento-estrategico-2021-2023.pdf>. Acesso em: 02 de agosto de 2021.
[6] Disponível em: <https://abessoftware.com.br/indice-lgpd-abes-aponta-que-69-das-empresas-de-agronegocios-precisam-se-adequar-a-lei-geral-de-protecao-de-dados/; https://www.eskive.com/blog/5pesquisanacionaleskive; http://www.abnt.org.br/images/Docspdf/Alvarez_e_Marsal_Pesquisa_de_Maturidade_da_LGPD.pdf>. Acesso em: 02 de agosto de 2021.
[7] Disponível em: < https://cdn.cade.gov.br/Portal/assuntos/noticias/2021/Recomendac%CC%A7a%CC%83o_WhatsApp_-_Assinada.pdf>. Acesso em: 02 de agosto de 2021.