Migalhas de IA e Proteção de Dados

Alvíssaras?! Apontamentos sobre o regulamento de dosimetria e aplicação de sanções administrativas da ANPD

Aluísio Miele e Pietra Quinelato enfrentam a tormentosa questão sobre sanções no sistema de proteção de dados pessoais.

3/3/2023

Alvíssaras?!1 Esta pode ser uma expressão que muito bem retrata a publicação do Regulamento de Dosimetria e Aplicação de Sanções Administrativas ("Regulamento") pela Autoridade Nacional de Proteção de Dados (ANPD) ocorrida no último dia 27/02 por meio da sua Resolução CD/ANPD n. 4.

É clara a importância de compreender e tecer as primeiras impressões acerca dos critérios e os objetivos que permeiam o Regulamento. Corrobora com isso a possibilidade de a ANPD poder, a partir da publicação da Resolução, sancionar agentes de tratamento de dados pessoais, prolatando as primeiras decisões nos autos de 08 processos administrativos sancionadores em trâmite.

Isso porque, com "parâmetros e critérios para aplicação de sanções administrativas pela ANPD, as formas e dosimetrias para o cálculo do valor-base das sanções de multa" (art. 1º do Regulamento), o instrumento de repressão está apto a ser aplicado. Contempla-se, assim, o requisito do artigo 53 da LGPD.

Sob uma outra "visão em paralaxe", as empresas, os diferentes mercados e os diversos atores jurídicos que atuam diretamente com a Lei Geral de Proteção de Dados Pessoais (LGPD) ansiavam por este Regulamento. Visando, realística e racionalmente, colocar uma "pá de cal" na dúvida se "a lei pegaria" e teria realmente impactos sancionatórios. Assim, os agentes de tratamento não mais adiariam a necessária conformidade.

Neste sentido, e com os ventos alvissareiros que sopram e ecoam a partir deste Regulamento, a finalidade do presente ensaio é trazer um feixe de luz sobre alguns de seus pontos, sem qualquer pretensão de avançar sobremaneira o tema ou de trazer conclusões herméticas. O enfoque é demonstrar que houve todo um processo e estudo para a elaboração do Regulamento, perpassando por alguns apontamentos iniciais.

De fato, na agenda da ANPD, é preciso avançar no tema da aplicação das sanções, ainda que seja cedo concluir sobre a suficiência, eficiência e eficácia do modelo adotado. Porém, alertamos, não se pode descurar da atuação orientativa e preventiva da autoridade, de forma a continuar válida a afirmação dos professores Cíntia Rosa Pereira de Lima e Newton de Lucca de que a autoridade deve prevalecer com sua atuação pedagógica, "para que a cultura da proteção de dados pessoais no Brasil possa frutificar admiravelmente, atingindo a sua plenitude o mais cedo possível"2.

O Regulamento está inserido em uma ampla Agenda Regulatória da ANPD, prevista para o biênio 2023-2024, que inclui diversas outras ações prioritárias como, por exemplo, regulamentar o tratamento de dados pessoais de crianças e adolescentes, dispor sobre o papel e demais questões envolvendo o encarregado pelo tratamento de  dados pessoais, além de regular a comunicação de incidentes e especificação do prazo de notificação e tratar do termo de ajustamento de conduta.3  São temas de grande relevância para a sociedade e para os agentes de tratamento, diante das dúvidas e questionamentos que pairam sobre tais assuntos.

A compreensão de que se trata de uma ampla agenda regulatória é importante na medida em que evidencia a sanção como um dos instrumentos utilizados pela autoridade. Em outras palavras, é preciso compreender que a repressão (sanção) faz parte do que podemos chamar de tripé instrumental em conjunto com as orientações4 e com as ações preventivas e corretivas5. Este tripé conforma incentivos positivos (orientação e prevenção) e negativos (repressão), todos de forma a instrumentalizar a conformidade das atividades de tratamento de dados pessoais (também sob um viés de enforcement) e viabilizar o alcance do objetivo legal que é a proteção dos dados pessoais.

O processo de regulamentação das sanções se iniciou com a Consulta Pública realizada durante 30 dias entre os meses de agosto e setembro de 2022, oportunidade em que houve ampla participação social consubstanciada em 2.504 contribuições. Houve também a realização de audiência pública, oportunidade em que foram recepcionadas 24 contribuições. A minuta inicial tramitou pela Procuradoria e pelo Conselho da ANPD e a minuta final passou pelo voto do Diretor Relator, Arthur Sabbat, e pelos votos dos demais diretores, sendo aprovada por unanimidade6.

Todo esse processo esteve envolto a uma importantíssima Análise de Impacto Regulatório (AIR)7, tendo a autoridade adotado um modelo de regulação responsiva8, em que a aplicação de sanções administrativas foi estudada a partir de análise de impacto-preditiva de dois possíveis modelos: (i) valoração; (ii)  tipicidade. Neste estudo, levou-se em consideração as consequências de cada um dos modelos a partir dos critérios de flexibilidade, proporcionalidade, facilidade de construção, facilidade de aplicação e previsibilidade. Ao compreender que a maior flexibilidade traria maior proporcionalidade, foi escolhido o modelo de valoração, o que viabiliza a "utilização de parâmetros e critérios para cada caso concreto, refletindo-se em uma maior proporcionalidade entre a gravidade da falta e a intensidade da sanção"9.

Portanto, o modelo, os parâmetros e os critérios para aplicação de sanção aos agentes de tratamento de dados pessoais já estavam escolhidos (também expressos no art. 52, §1º da LGPD). Os critérios atuam como requisitos para a classificação da infração: se multa simples, multa diária, advertência, proibição da atividade de tratamento, suspensão etc. Já os parâmetros dizem respeito à dosimetria que tem como finalidade valorar a sanção em termos de valor base atenuantes e agravantes. Os critérios escolhidos para cálculo da sanção foram gravidade, natureza da infração e a ofensa aos direitos dos titulares afetados10.

Diante do cenário exposto, destaca-se no Regulamento a importância dada às medidas tomadas e comportamentos do infrator, sejam eles preventivos ou corretivos. Assim, demonstra-se a relevância de um agente de tratamento voltar-se às boas práticas de governança em privacidade e proteção de dados pessoais, atuar com boa-fé, bem como estar em conformidade com as exigências da LGPD. Tais pontos, já previstos na LGPD, além de serem considerados como parâmetros para a dosimetria, podem ser atenuantes de multas. Estes parâmetros e atenuantes remetem até mesmo à discussão sobre responsabilização objetiva ou subjetiva dos agentes de tratamento que, contudo, não será tópico desse ensaio.

Outro ponto a ser ressaltado no Regulamento é a diferenciação dada às sanções com gravidade de maior potencial aos agentes de tratamento e aos titulares, entre elas, a suspensão da utilização do banco de dados pessoais ou tratamento realizado, assim como sua eventual proibição. Tais sanções serão aplicadas apenas quando outra já houver sido aplicada para o mesmo caso. Além disso, a ANPD consultará a entidade ou órgão regulador setorial sobre as consequências da aplicação de referidas sanções. Ao nosso ver, a sanção referente à eliminação dos dados pessoais aos quais se refere eventual infração também deveria ser objeto de tais cuidados, diante da potencial gravidade em suas consequências.

Para a definição das multas, será considerada a classificação da infração, além de outros critérios previstos no Regulamento. Ao classificá-las em leves, médias e graves, a autoridade elenca algumas hipóteses relacionadas às consequências geradas aos titulares a partir da infração. As infrações graves também serão classificadas a partir da presença de algumas hipóteses relacionadas aos tipos de dados tratados - se sensíveis, referentes a crianças e adolescentes ou idosos, comportamentos específicos do infrator - como a reincidência e obstrução da atividade fiscalizatória, e quantidade de dados pessoais envolvidos, a duração, frequência e extensão geográfica do tratamento realizado. Todavia, o Regulamento não conceitua "tratamento de dados pessoais em larga escala", deixando para uma análise casuística e subjetiva da autoridade.

A condição econômica do infrator e o seu faturamento também são considerados pelo Regulamento para a aplicação das sanções e a dosimetria de eventuais multas (art. 52, §1º da LGPD). Sob esta perspectiva, uma situação que se apresenta diz respeito à ausência de faturamento do infrator, o que inclui pessoa jurídica sem fins lucrativos. Nesse caso, o Regulamento trouxe uma tabela específica para pessoas físicas e jurídicas de direito privado para definição do valor base da multa, que dependerão da classificação da infração - se leve, média ou grave. Tais casos nos remetem ao Regulamento de aplicação da LGPD para agentes de tratamento de pequeno porte, publicado na Resolução CD/ANPD n. 2 no início de 2022. Em tal cenário, destaca-se a realidade da aplicação da LGPD para o terceiro setor, que deve ser considerado com especificidades que extrapolam o faturamento, como no caso das Organizações da Sociedade Civil - OSCIPs.

Diante destas breves considerações apresentadas, evidencia-se a preocupação da ANPD em buscar o remédio adequado e a dose a ser ministrada, ou seja, uma análise caso a caso de forma a trazer, se necessário, uma sanção proporcional para que não se cometa eventuais injustiças.

Também entendemos que há uma sinalização primordial do Regulamento de aplicação de sanções administrativas, qual seja, a importância de as empresas e demais agentes de tratamentos de dados pessoais se adequarem à LGPD. Se antes já era fundamental, agora a necessidade é iminente, uma vez que a conformidade poderá ensejar atenuação de eventual sanção em caso de fiscalização e abertura de processo administrativo sancionador.

Dessa forma, o tripé orientação, ações preventivas e repressivas tem a clara finalidade de funcionalizar o objetivo da LGPD: a proteção dos titulares, permitindo sua autodeterminação informativa. Se não há nada de novo nessa compreensão a nível de objetivo, a algo de muito novo que ensejará a conformidade de todos os agentes de tratamento de dados pessoais.

Os riscos decorrentes do descumprimento e não conformidade com a lei "não é coisa para inglês ver", sendo certo que a ANPD traz uma peça importante em direção ao enforcement da LGPD e à funcionalização do objetivo legal: uma busca real, eficaz e eficiente da proteção de dados pessoais. Se o regulamento traz boas notícias, ao mesmo tempo será necessária uma Avaliação de Resultado Regulatório para as necessárias correções, sem que a ANPD se distancie do elemento pedagógico.

__________

1 O termo neste artigo é adotado como uma conotação ambígua de que os ventos alvissareiros podem ainda ecoar termos genéricos, dúvidas quanto à possibilidade de interpretações subjetivas, a existência de "gaps", a eficiência e que, ao fim, a novidade como uma boa notícia ainda espelha uma evolução do instrumento repressivo.

2 LIMA, Cìntia Rosa Pereira de; DE LUCCA, Newton. O Brasil está pronto para as sanções administrativas previstas na LGPD?. Migalhas. 06 de agosto de 2021. Disponível aqui. Acesso em: 02 de agosto de 2023.

3 BRASIL. ANPD publica Agenda Regulatória 2023-2024. 08/11/2022. Disponível aqui. Acesso em: 28 de fevereiro de 2023.

4 Os guias orientativos e os documentos técnicos funcionam como referência tanto para os titulares de dados, quanto para os agentes de tratamento. (vide aqui).

5 Estas se vinculam à adequação dos agentes de tratamentos de dados e à uma clara obrigação de fazer (correção).

6 BRASIL. ANPD publica Regulamento de aplicação de sanções administrativas. 27/02/2023. Disponível aqui. Acesso em: 28 de fevereiro de 2023. Vale ressaltar que o processo explicado não está em ordem cronológica.

7 Autoridade Nacional de Proteção de Dados. Relatório de Análise de Impacto Regulatório. Julho de 2022. Disponível aqui. Acesso em: 01de março de 2023.

8 Sobre a regulação responsiva e o modelo repressivo adotado pela ANPD, cf. ALVES, Fabrício da Mota; VALADÃO, Rodrigo Borges.  Regulação responsiva e o poder sancionador da ANPD sobre o poder público. Migalhas. 06 out. 2022. Disponível aqui. Acesso em: 28/02/2022.

9 Op. cit. p. 17.

10 Op. cit. p. 21-22.

Veja mais no portal
cadastre-se, comente, saiba mais

Coordenação

Cintia Rosa Pereira de Lima, professora de Direito Civil da Faculdade de Direito da USP Ribeirão Preto – FDRP. Doutora em Direito Civil pela Faculdade de Direito da USP com estágio na Ottawa University (Canadá) com bolsa CAPES - PDEE - Doutorado Sanduíche e livre-docente em Direito Civil Existencial e Patrimonial pela Faculdade de Direito de Ribeirão Preto (USP). Pó-doutora em Direito Civil na Università degli Studi di Camerino (Itália) com fomento FAPESP e CAPES. Líder e Coordenadora dos Grupos de Pesquisa "Tutela Jurídica dos Dados Pessoais dos Usuários da Internet" e "Observatório do Marco Civil da Internet", cadastrados no Diretório de Grupos de Pesquisa do CNPq e do Grupo de Pesquisa "Tech Law" do Instituto de Estudos Avançados (IEA/USP). Presidente do Instituto Avançado de Proteção de Dados – IAPD - www.iapd.org.br. Associada Titular do IBERC - Instituto Brasileiro de Responsabilidade Civil. Membro fundador do IBDCONT - Instituto Brasileiro de Direito Contratual. Advogada.

Cristina Godoy Bernardo de Oliveira, professora doutora da Faculdade de Direito de Ribeirão Preto – Universidade de São Paulo desde 2011. Academic Visitor da Faculty of Law of the University of Oxford (2015-2016). Pós-doutora pela Université Paris I Panthéon-Sorbonne (2014-2015). Doutora em Filosofia do Direito pela Faculdade de Direito da USP (2011). Graduada pela Faculdade de Direito da USP (2006). Líder do Grupo de Pesquisa Direito, Ética e Inteligência Artificial da USP – CNPq. Coordenadora do Grupo de Pesquisa "Tech Law" do Instituto de Estudos Avançados (IEA/USP). Membro fundador do Instituto Avançado de Proteção de Dados – IAPD.

Evandro Eduardo Seron Ruiz, professor Associado do Departamento de Computação e Matemática, FFCLRP - USP, onde é docente em dedicação exclusiva. Atua também como orientador no Programa de Pós-graduação em Computação Aplicada do DCM-USP. Bacharel em Ciências de Computação pela USP, mestre pela Faculdade de Engenharia Elétrica da UNICAMP, Ph.D. em Electronic Engineering pela University of Kent at Canterbury, Grã-Bretanha, professor lLivre-docente pela USP e pós-Doc pela Columbia University, NYC. Coordenador do Grupo de Pesquisa "Tech Law" do Instituto de Estudos Avançados (IEA/USP). Membro fundador do Instituto Avançado de Proteção de Dados – IAPD.

Nelson Rosenvald é advogado e parecerista. Professor do corpo permanente do Doutorado e Mestrado do IDP/DF. Pós-Doutor em Direito Civil na Università Roma Tre. Pós-Doutor em Direito Societário na Universidade de Coimbra. Visiting Academic na Oxford University. Professor Visitante na Universidade Carlos III, Madrid. Doutor e Mestre em Direito Civil pela Pontifícia Universidade Católica de São Paulo – PUC/SP. Presidente do Instituto Brasileiro de Estudos de Responsabilidade Civil – IBERC. Foi Procurador de Justiça do Ministério Público de Minas Gerais.

Newton De Lucca, professor Titular da Faculdade de Direito da USP. Desembargador Federal, presidente do Tribunal Regional Federal da 3ª Região (biênio 2012/2014). Membro da Academia Paulista de Direito. Membro da Academia Paulista de Letras Jurídicas. Membro da Academia Paulista dos Magistrados. Vice-presidente do Instituto Avançado de Proteção de Dados.