Alvíssaras?!1 Esta pode ser uma expressão que muito bem retrata a publicação do Regulamento de Dosimetria e Aplicação de Sanções Administrativas ("Regulamento") pela Autoridade Nacional de Proteção de Dados (ANPD) ocorrida no último dia 27/02 por meio da sua Resolução CD/ANPD n. 4.
É clara a importância de compreender e tecer as primeiras impressões acerca dos critérios e os objetivos que permeiam o Regulamento. Corrobora com isso a possibilidade de a ANPD poder, a partir da publicação da Resolução, sancionar agentes de tratamento de dados pessoais, prolatando as primeiras decisões nos autos de 08 processos administrativos sancionadores em trâmite.
Isso porque, com "parâmetros e critérios para aplicação de sanções administrativas pela ANPD, as formas e dosimetrias para o cálculo do valor-base das sanções de multa" (art. 1º do Regulamento), o instrumento de repressão está apto a ser aplicado. Contempla-se, assim, o requisito do artigo 53 da LGPD.
Sob uma outra "visão em paralaxe", as empresas, os diferentes mercados e os diversos atores jurídicos que atuam diretamente com a Lei Geral de Proteção de Dados Pessoais (LGPD) ansiavam por este Regulamento. Visando, realística e racionalmente, colocar uma "pá de cal" na dúvida se "a lei pegaria" e teria realmente impactos sancionatórios. Assim, os agentes de tratamento não mais adiariam a necessária conformidade.
Neste sentido, e com os ventos alvissareiros que sopram e ecoam a partir deste Regulamento, a finalidade do presente ensaio é trazer um feixe de luz sobre alguns de seus pontos, sem qualquer pretensão de avançar sobremaneira o tema ou de trazer conclusões herméticas. O enfoque é demonstrar que houve todo um processo e estudo para a elaboração do Regulamento, perpassando por alguns apontamentos iniciais.
De fato, na agenda da ANPD, é preciso avançar no tema da aplicação das sanções, ainda que seja cedo concluir sobre a suficiência, eficiência e eficácia do modelo adotado. Porém, alertamos, não se pode descurar da atuação orientativa e preventiva da autoridade, de forma a continuar válida a afirmação dos professores Cíntia Rosa Pereira de Lima e Newton de Lucca de que a autoridade deve prevalecer com sua atuação pedagógica, "para que a cultura da proteção de dados pessoais no Brasil possa frutificar admiravelmente, atingindo a sua plenitude o mais cedo possível"2.
O Regulamento está inserido em uma ampla Agenda Regulatória da ANPD, prevista para o biênio 2023-2024, que inclui diversas outras ações prioritárias como, por exemplo, regulamentar o tratamento de dados pessoais de crianças e adolescentes, dispor sobre o papel e demais questões envolvendo o encarregado pelo tratamento de dados pessoais, além de regular a comunicação de incidentes e especificação do prazo de notificação e tratar do termo de ajustamento de conduta.3 São temas de grande relevância para a sociedade e para os agentes de tratamento, diante das dúvidas e questionamentos que pairam sobre tais assuntos.
A compreensão de que se trata de uma ampla agenda regulatória é importante na medida em que evidencia a sanção como um dos instrumentos utilizados pela autoridade. Em outras palavras, é preciso compreender que a repressão (sanção) faz parte do que podemos chamar de tripé instrumental em conjunto com as orientações4 e com as ações preventivas e corretivas5. Este tripé conforma incentivos positivos (orientação e prevenção) e negativos (repressão), todos de forma a instrumentalizar a conformidade das atividades de tratamento de dados pessoais (também sob um viés de enforcement) e viabilizar o alcance do objetivo legal que é a proteção dos dados pessoais.
O processo de regulamentação das sanções se iniciou com a Consulta Pública realizada durante 30 dias entre os meses de agosto e setembro de 2022, oportunidade em que houve ampla participação social consubstanciada em 2.504 contribuições. Houve também a realização de audiência pública, oportunidade em que foram recepcionadas 24 contribuições. A minuta inicial tramitou pela Procuradoria e pelo Conselho da ANPD e a minuta final passou pelo voto do Diretor Relator, Arthur Sabbat, e pelos votos dos demais diretores, sendo aprovada por unanimidade6.
Todo esse processo esteve envolto a uma importantíssima Análise de Impacto Regulatório (AIR)7, tendo a autoridade adotado um modelo de regulação responsiva8, em que a aplicação de sanções administrativas foi estudada a partir de análise de impacto-preditiva de dois possíveis modelos: (i) valoração; (ii) tipicidade. Neste estudo, levou-se em consideração as consequências de cada um dos modelos a partir dos critérios de flexibilidade, proporcionalidade, facilidade de construção, facilidade de aplicação e previsibilidade. Ao compreender que a maior flexibilidade traria maior proporcionalidade, foi escolhido o modelo de valoração, o que viabiliza a "utilização de parâmetros e critérios para cada caso concreto, refletindo-se em uma maior proporcionalidade entre a gravidade da falta e a intensidade da sanção"9.
Portanto, o modelo, os parâmetros e os critérios para aplicação de sanção aos agentes de tratamento de dados pessoais já estavam escolhidos (também expressos no art. 52, §1º da LGPD). Os critérios atuam como requisitos para a classificação da infração: se multa simples, multa diária, advertência, proibição da atividade de tratamento, suspensão etc. Já os parâmetros dizem respeito à dosimetria que tem como finalidade valorar a sanção em termos de valor base atenuantes e agravantes. Os critérios escolhidos para cálculo da sanção foram gravidade, natureza da infração e a ofensa aos direitos dos titulares afetados10.
Diante do cenário exposto, destaca-se no Regulamento a importância dada às medidas tomadas e comportamentos do infrator, sejam eles preventivos ou corretivos. Assim, demonstra-se a relevância de um agente de tratamento voltar-se às boas práticas de governança em privacidade e proteção de dados pessoais, atuar com boa-fé, bem como estar em conformidade com as exigências da LGPD. Tais pontos, já previstos na LGPD, além de serem considerados como parâmetros para a dosimetria, podem ser atenuantes de multas. Estes parâmetros e atenuantes remetem até mesmo à discussão sobre responsabilização objetiva ou subjetiva dos agentes de tratamento que, contudo, não será tópico desse ensaio.
Outro ponto a ser ressaltado no Regulamento é a diferenciação dada às sanções com gravidade de maior potencial aos agentes de tratamento e aos titulares, entre elas, a suspensão da utilização do banco de dados pessoais ou tratamento realizado, assim como sua eventual proibição. Tais sanções serão aplicadas apenas quando outra já houver sido aplicada para o mesmo caso. Além disso, a ANPD consultará a entidade ou órgão regulador setorial sobre as consequências da aplicação de referidas sanções. Ao nosso ver, a sanção referente à eliminação dos dados pessoais aos quais se refere eventual infração também deveria ser objeto de tais cuidados, diante da potencial gravidade em suas consequências.
Para a definição das multas, será considerada a classificação da infração, além de outros critérios previstos no Regulamento. Ao classificá-las em leves, médias e graves, a autoridade elenca algumas hipóteses relacionadas às consequências geradas aos titulares a partir da infração. As infrações graves também serão classificadas a partir da presença de algumas hipóteses relacionadas aos tipos de dados tratados - se sensíveis, referentes a crianças e adolescentes ou idosos, comportamentos específicos do infrator - como a reincidência e obstrução da atividade fiscalizatória, e quantidade de dados pessoais envolvidos, a duração, frequência e extensão geográfica do tratamento realizado. Todavia, o Regulamento não conceitua "tratamento de dados pessoais em larga escala", deixando para uma análise casuística e subjetiva da autoridade.
A condição econômica do infrator e o seu faturamento também são considerados pelo Regulamento para a aplicação das sanções e a dosimetria de eventuais multas (art. 52, §1º da LGPD). Sob esta perspectiva, uma situação que se apresenta diz respeito à ausência de faturamento do infrator, o que inclui pessoa jurídica sem fins lucrativos. Nesse caso, o Regulamento trouxe uma tabela específica para pessoas físicas e jurídicas de direito privado para definição do valor base da multa, que dependerão da classificação da infração - se leve, média ou grave. Tais casos nos remetem ao Regulamento de aplicação da LGPD para agentes de tratamento de pequeno porte, publicado na Resolução CD/ANPD n. 2 no início de 2022. Em tal cenário, destaca-se a realidade da aplicação da LGPD para o terceiro setor, que deve ser considerado com especificidades que extrapolam o faturamento, como no caso das Organizações da Sociedade Civil - OSCIPs.
Diante destas breves considerações apresentadas, evidencia-se a preocupação da ANPD em buscar o remédio adequado e a dose a ser ministrada, ou seja, uma análise caso a caso de forma a trazer, se necessário, uma sanção proporcional para que não se cometa eventuais injustiças.
Também entendemos que há uma sinalização primordial do Regulamento de aplicação de sanções administrativas, qual seja, a importância de as empresas e demais agentes de tratamentos de dados pessoais se adequarem à LGPD. Se antes já era fundamental, agora a necessidade é iminente, uma vez que a conformidade poderá ensejar atenuação de eventual sanção em caso de fiscalização e abertura de processo administrativo sancionador.
Dessa forma, o tripé orientação, ações preventivas e repressivas tem a clara finalidade de funcionalizar o objetivo da LGPD: a proteção dos titulares, permitindo sua autodeterminação informativa. Se não há nada de novo nessa compreensão a nível de objetivo, a algo de muito novo que ensejará a conformidade de todos os agentes de tratamento de dados pessoais.
Os riscos decorrentes do descumprimento e não conformidade com a lei "não é coisa para inglês ver", sendo certo que a ANPD traz uma peça importante em direção ao enforcement da LGPD e à funcionalização do objetivo legal: uma busca real, eficaz e eficiente da proteção de dados pessoais. Se o regulamento traz boas notícias, ao mesmo tempo será necessária uma Avaliação de Resultado Regulatório para as necessárias correções, sem que a ANPD se distancie do elemento pedagógico.
__________
1 O termo neste artigo é adotado como uma conotação ambígua de que os ventos alvissareiros podem ainda ecoar termos genéricos, dúvidas quanto à possibilidade de interpretações subjetivas, a existência de "gaps", a eficiência e que, ao fim, a novidade como uma boa notícia ainda espelha uma evolução do instrumento repressivo.
2 LIMA, Cìntia Rosa Pereira de; DE LUCCA, Newton. O Brasil está pronto para as sanções administrativas previstas na LGPD?. Migalhas. 06 de agosto de 2021. Disponível aqui. Acesso em: 02 de agosto de 2023.
3 BRASIL. ANPD publica Agenda Regulatória 2023-2024. 08/11/2022. Disponível aqui. Acesso em: 28 de fevereiro de 2023.
4 Os guias orientativos e os documentos técnicos funcionam como referência tanto para os titulares de dados, quanto para os agentes de tratamento. (vide aqui).
5 Estas se vinculam à adequação dos agentes de tratamentos de dados e à uma clara obrigação de fazer (correção).
6 BRASIL. ANPD publica Regulamento de aplicação de sanções administrativas. 27/02/2023. Disponível aqui. Acesso em: 28 de fevereiro de 2023. Vale ressaltar que o processo explicado não está em ordem cronológica.
7 Autoridade Nacional de Proteção de Dados. Relatório de Análise de Impacto Regulatório. Julho de 2022. Disponível aqui. Acesso em: 01de março de 2023.
8 Sobre a regulação responsiva e o modelo repressivo adotado pela ANPD, cf. ALVES, Fabrício da Mota; VALADÃO, Rodrigo Borges. Regulação responsiva e o poder sancionador da ANPD sobre o poder público. Migalhas. 06 out. 2022. Disponível aqui. Acesso em: 28/02/2022.
9 Op. cit. p. 17.
10 Op. cit. p. 21-22.