A regulamentação do uso de dados na Europa com a GDPR (General Data Protection Law), que entrou em vigor em maio de 2016, deu início a um efeito cascata que impulsionou diversos países a fazerem o mesmo. Seguindo este fluxo, foi publicada no Brasil, em 2018, a Lei nº 13.709/18, conhecida como Lei Geral de Proteção de Dados (LGPD). Uma vez que a LGPD entrou em vigor em 18 de setembro de 2020, toda e qualquer pessoa jurídica ou física situada no Brasil já deveria se adequar à regulação, de modo a evitar as penalidades nela previstas.
Neste contexto, as medidas de proteção de dados pessoais visam a proteção de direito fundamental há muito já existente: o da privacidade, já previsto na Constituição Federal de 1988, bem como o direito ao livre desenvolvimento da personalidade.
Assim, em razão da importância atrelada à segurança de dados, foram fixadas sanções bastante rígidas pela LGPD, que vão desde uma simples advertência até a aplicação de multa administrativa de até 50 milhões de reais por infração. Assim, vale frisar que não só empreendedores, mas a sociedade de modo geral precisa estar atenta à LGPD e seus desdobramentos. Isto porque, ainda que muitas pessoas não façam tratamento de dados, a quase totalidade da população brasileira tem seus dados captados e manipulados a todo momento, seja por entidades públicas ou privadas, sem qualquer tipo de resguardo, proteção ou critério.
Então, considerando a magnitude do impacto social desta medida, faz-se necessário, também, entender quem será responsável e como se dará a fiscalização de seu cumprimento. Ora, para cada nicho regulatório no Brasil há uma agência reguladora, a exemplo do PROCON para as relações de consumo, ANEEL para a energia elétrica, e a ANAC para a aviação. Em relação à segurança de dados não poderia ser diferente, e a Lei 13.709/18 cria então um órgão, na qualidade de autoridade nacional, voltado à regulação da proteção de dados pessoais: a ANPD – Autoridade Nacional de Proteção de Dados.
A ANPD é definida em Lei como a autoridade nacional responsável pela fiscalização e regulação da Lei Geral de Proteção de Dados. Trata-se de órgão da administração pública federal que terá natureza transitória, com a possibilidade de transformação em autarquia vinculada à Presidência da República após dois anos, a critério do governo. A estrutura organizacional deste novo órgão será constituída por 6 setores, sendo eles:
- Conselho Diretor: formado por 5 membros escolhidos pelo Presidente da República, responsáveis por administrar, planejar e tomar decisões pertinentes ao bom funcionamento da LGDP. Os membros terão mandato com duração de até 4 anos. Um Diretor-Presidente será designado para liderar o Conselho.
- Conselho Nacional de Proteção de Dados Pessoais e da Privacidade: terá formação diversificada, sendo composto por 23 membros oriundos de diversos setores públicos e privados (Câmara dos Deputados, Senado Federal, Instituições Científicas, Confederações Sindicais, entre outros). Os membros deste conselho não possuem direito de voto nas tomadas de decisão da ANPD.
- Corregedoria: setor responsável pela apuração de erros ou práticas não conformes com a Lei. Na hipótese de erros de agentes públicos, este será o setor responsável por aplicar as penalidades cabíveis.
- Ouvidoria: responsável por atender a população, servindo de ponte entre os titulares dos dados e a ANPD, é para onde devem ser direcionadas reclamações, dúvidas e sugestões, em geral.
- Órgão de assessoramento jurídico próprio: possui a função de prestar consultoria e assistência jurídica na aplicação da LGPD para pessoas físicas e jurídicas. É o responsável por promover a implementação da Lei através do esclarecimento das principais dúvidas que possam surgir durante projetos de compliance e afins.
- Unidades administrativas necessárias à aplicação da Lei: setor formado por variados órgãos, os quais serão diretamente responsáveis pela aplicação da LGPD.
O Art. 55-J da LGPD destrincha, em seus 24 incisos, as diversas competências da autoridade nacional de proteção e dados, dentre os quais destacam-se:
- O zelo pela proteção de dados pessoais e de segredos comercial e industrial;
- A elaboração de diretrizes e edição de regulamentos para a proteção de dados;
- A fiscalização e aplicação de sanções;
- A divulgação das informações acerca dos direitos e políticas relacionados à proteção de dados;
- A implementação de mecanismos simplificados para o registro de reclamações sobre o tratamento de dados.
A despeito de todas estas prerrogativas, ressalta-se que a ANPD não pode atuar de forma irrestrita. É necessário que seus agentes atuem com observância à exigência de mínima intervenção, sendo respeitados os direitos, princípios e fundamentos da livre iniciativa, conforme disposto no art. 170 da Constituição Federal. Nesta hipótese, não se deve proteger um direito violando outro, mas sim encontrar formas de harmonizar a coexistência e a efetividade dos direitos, tanto do indivíduo quanto da coletividade.
Para executar todas estas tarefas, dispõe o art. 55-K da LGPD que a ANPD atuará em cooperação com os demais órgãos da Administração Pública. Contudo, no que tange à proteção de dados pessoais, as competências da ANPD – regulação, interpretação legal, fiscalização e penalização – são tratadas com autonomia e prevalecerão sobre qualquer outro órgão administrativo.
Nesta linha, a LGPD fixa não só as prerrogativas do novo órgão, como também estabelece as penalidades que seus agentes poderão aplicar em caso de não conformidade com esta Lei, conforme segue:
- Advertência: notificação formal a uma organização a fim de permitir que ela corrija as infrações sem maiores consequências dentro de um prazo pré-estabelecido;
- Multa simples: valor de até 2% do faturamento da pessoa jurídica no seu último exercício, cujo teto será de R$ 50 milhões por infração;
- Multa diária: poderá ser instituída uma multa diária, cumulada ou não, com a supracitada multa simples. O limite também é de R$ 50 milhões por infração;
- Publicitação da Infração: pública e ampla revelação da infração cometida pela empresa nos meios de comunicação pertinentes;
- Bloqueio dos Dados Pessoais: bloqueio dos dados referentes à infração até a resolução do caso pelas autoridades. O objetivo é travar o uso dos dados envolvidos, bem como qualquer tipo de atividade ligada a eles;
- Eliminação de Dados Pessoais: os dados envolvidos na infração serão apagados do sistema da empresa, de modo a impossibilitar o retorno pretendido a partir do investimento na obtenção destes dados.
Assim, a ANPD, com os diversos instrumentos para aplicar sanções às violações legais, será a responsável por definir qual penalidade melhor se adequa a cada caso, levando-se em conta a culpa ou dolo do agente, a quantidade de dados envolvidos e a finalidade da infração.
Resta claro, então, que a ANPD é fundamental para a efetiva aplicação das normas de privacidade e proteção de dados. Sabendo-se que a LGPD é uma norma essencialmente principiológica, ou seja, que fixa preceitos gerais, com princípios a serem adotados, a presença de um órgão que determine bases e diretrizes para o seu cumprimento é de suma importância para maior eficiência da sua implementação.
Ademais, levando-se em conta a experiência europeia, recomenda-se que a ANPD, em suas primeiras diligências, atue de forma lúdica e educacional, recomendando às empresas como elas devem se portar para se adequar à regulação, deixando para um segundo momento, de reincidência, a aplicação das penas mais pesadas. Afinal, a LGPD busca a melhor governança no tratamento e proteção da privacidade dos dados pessoais e não uma caçada desgovernada de penalidades e multas.
Portanto, a ANPD é o órgão que ocupa o topo da hierarquia na esfera administrativa da Lei Geral de Proteção de Dados. Criado para atuar a serviço do cidadão, ele serve de elo entre sociedade e governo, para o qual deve ser dirigida qualquer sugestão, reclamação ou denúncia relacionadas à proteção de dados. Assim, todos aqueles que realizam tratamento de dados devem estar não só atentos à LGPD, como também atualizados em relação às diretrizes da ANPD, de forma a evitar as severas sanções legalmente impostas.
Entretanto, até o presente momento, a ANPD não havia aplicado qualquer tipo de penalidade, uma vez que carecia determinar um procedimento transparente no que se refere à aplicação das multas, o que deve mudar à partir de agora.
Neste sentido, foi publicado hoje, 27.2.2023, o Regulamento de Dosimetria e Aplicação de Sanções Administrativas pela Autoridade Nacional de Proteção de Dados. A chamada “norma de dosimetria” foi bastante esperada pela sociedade, por tratar da atuação sancionadora da ANPD, proporcionando, assim, o devido reforço à atuação fiscalizatória da Autoridade. A aprovação aconteceu em deliberação eletrônica do Conselho Diretor da ANPD e trouxe, também, alteração da Resolução ANPD nº 1, que trata das regras para o processo de fiscalização e para o processo administrativo sancionador da Autoridade.
A “Dosimetria” é o método que orienta a escolha da sanção mais apropriada para cada caso concreto em que houver violação à LGPD e permite calcular, quando cabível, o valor da multa aplicável ao infrator. Dessa forma, as sanções aplicadas estabelecerão uma melhor correspondência entre o fim a ser alcançado e o meio empregado, que seja o mais acertado e justo possível.
A arrecadação das multas aplicadas pela ANPD será destinada ao Fundo de Defesa de Direitos Difusos, que tem por finalidade a reparação dos danos causados ao meio ambiente, ao consumidor, a bens e direitos de valor artístico, estético, histórico, turístico, paisagístico, por infração à ordem econômica e a outros interesses difusos e coletivos.
A partir de agora a ANPD poderá aplicar as sanções administrativas com base em requisitos claros e estabelecidos, pois o regulamento entra em vigor imediatamente após a sua publicação. Com isso, o cidadão passa a ter cada vez mais garantia da proteção de seu direito fundamental à proteção de dados pessoais, e o Brasil passa a estar muito mais alinhado às melhores práticas de ESG (Environment, Social & Governance ou, em uma tradução livre, Governança Ambiental, social e Corporativa) para melhoria de seu ambiente de negócios.
Autores:
Head de Segurança LGPDSolution e Auditor Líder ISO 27001
Deixe seu comentário