Em 27 de fevereiro de 2023, o Diário Oficial da União publicou a Resolução CD/ANPD nº 4, de 24 de fevereiro de 2023, informando que Conselho Diretor da Autoridade Nacional de Proteção De Dados aprovou o Regulamento de Dosimetria e Aplicação de Sanções Administrativas1.
Em plena ressaca do primeiro carnaval com ares de "normalidade", após findas as regras de distanciamento social, o Regulamento visa estabelecer os parâmetros e critérios para aplicação de sanções administrativas previstas na lei 13.709, de 14 de agosto de 2018 - Lei Geral de Proteção de Dados (LGPD) pela Autoridade Nacional de Proteção de Dados (ANPD), bem como as formas e dosimetrias para o cálculo do valor-base das sanções de multa pecuniária.
Em poucos dias já se verifica um Projeto de Decreto Legislativo na Câmara Federal para sustar os efeitos do art. 282 da Resolução CD/ANPD nº 4 / 2023, sob o argumento de que "não assiste razão e coerência jurídica para existência do artigo em comento uma vez que a norma que traz sanções e punições para os agentes de tratamento de dados pessoais foi publicada em 24/02/2023 e quer retroagir no tempo para alcançar fatos pretéritos, quando as empresas e órgãos públicos sequer sabiam como as sanções e penas seriam aplicadas."3 Já Bruno Bioni classificou a Resolução como um "balde de água fria" em razão da "notícia de que os processos serão sigilosos até segunda ordem".4
Dentre outras regras, o Regulamento traz a especificação dos critérios para a graduação das infrações à LGPD em leves, moderadas ou graves, considerando aspectos como: natureza da infração; boa-fé do infrator; gravidade do dano; vantagem auferida ou pretendida pelo infrator; reincidência; cooperação do infrator; adoção de medidas corretivas ou compensatórias; porte econômico do infrator; entre outros (art. 7º.); a determinação das formas e dosimetrias para o cálculo do valor-base das sanções de multa aplicáveis às infrações à LGPD, levando em conta fatores como: faturamento bruto anual do grupo econômico no Brasil no último exercício fiscal anterior à instauração do processo sancionador; percentual desse faturamento afetado pela infração; grau da infração; entre outros (art. 11); a previsão de possibilidade de redução ou majoração do valor-base da multa em função de circunstâncias atenuantes ou agravantes da infração; a estipulação dos limites máximos e mínimos das multas aplicáveis às infrações à LGPD, conforme o grau da infração, o porte econômico do infrator e outros fatores.
Não obstante, nos chama atenção o disposto no inciso II, art. 2º. do Regulamento, ao estabelecer que:
Art. 2º Para fins deste Regulamento adotam-se as seguintes definições: (...)
II - infração: descumprimento de obrigação estabelecida na lei 13.709, de 14 de agosto de 2018 (LGPD), e nos regulamentos expedidos pela ANPD.
A nosso ver, os primeiros questionamentos que poderão surgir são no sentido da escolha pelo termo "e" impondo a cumulação de dois requisitos necessários à configuração da infração.
Será que houve erro de redação e a questão passou despercebida? O correto não deveria ser "ou" no lugar de “e”? Não faz sentido algum a necessidade de cumulação de dois requisitos (descumprimento da LGPD + descumprimento dos regulamentos expedidos pela ANPD) para se constatar uma infração.
O mais acertado, portanto, em nosso entendimento, é a leitura das expressões do inciso II do Art. 2º ("descumprimento de obrigação estabelecida LGPD" / "nos regulamentos expedidos pela ANPD") do Regulamento de forma não cumulativa, mas alternativa. Aliás, a própria LGPD assim o determina, quando no Art. 52 estabelece um único requisito, no sentido de que os agentes de tratamento de dados estarão sujeitos às sanções administrativas "em razão das infrações cometidas às normas previstas nesta lei."
Outro ponto que pode suscitar dúvidas hermenêuticas consiste no espectro de abrangência da expressão "regulamentos expedidos pela ANPD" constante do mesmo inciso II do Art. 2º abordado no item anterior. Apenas serão levados em conta o Regulamento do Processo de Fiscalização e do Processo Administrativo Sancionador5 e o Regulamento de aplicação da LGPD para agentes de tratamento de pequeno porte6? A mera inobservância das orientações constantes dos Guias Orientativos constitui infração apta a gerar sanção administrativa? Vejamos dois exemplos:
O Guia Orientativo para Definições dos Agentes de Tratamento de Dados Pessoais e do Encarregado de Abril de 2022 traz como "obrigação" do Operador a celebração de “contratos” que estabeleçam, dentre outros assuntos, o regime de atividades e responsabilidades com o controlador7. Trata-se de tema sem nenhuma previsão legal, situação expressamente reconhecida pela Autoridade:
Ainda que a LGPD não determine expressamente que o controlador e o operador devam firmar um contrato sobre o tratamento de dados, tal ajuste se mostra como uma boa prática de tratamento de dados, uma vez que as cláusulas contratuais impõem limites à atuação do operador, fixam parâmetros objetivos para a alocação de responsabilidades entre as partes e reduzem os riscos e as incertezas decorrentes da operação.8
Pergunta-se: imagine-se que no curso de um processo administrativo sancionador, a ANPD verifique que dois agentes de tratamento que compartilham dados não celebraram qualquer contrato escrito entre si e, no entanto, nenhum dispositivo da LGPD foi expressamente violado. No caso em análise, qual seja, a ausência de contrato entre agentes de tratamento contemplando os parâmetros sugeridos pela ANPD, haveria fundamento para se concluir que a mera inobservância de obrigação constante de um Guia Orientativo da Autoridade constituiria uma infração nos moldes previstos pelo Art. 2º, II do Regulamento? Estaria este fato apto a gerar sanção uma administrativa?
O guia mencionado anteriormente cria a figura do suboperador9, que igualmente não tem previsão legal no Brasil10. A ANPD informa ainda:
é recomendável que o operador, ao contratar o suboperador, obtenha autorização formal (genérica ou específica) do controlador, a qual pode inclusive constar do próprio contrato firmado entre as partes. Tal medida visa evitar que se entenda que, ao contratar o suboperador, o operador tenha executado o tratamento de dados descumprindo orientações do controlador, o que poderia atrair para o operador responsabilidades que normalmente são exclusivas do controlador.[11]
Pergunta-se: Na situação corriqueira do operador (ex: empresa de marketing) que contrata serviços de terceiros para armazenamento de dados em nuvem (ex: AWS), hipótese clássica na qual este terceiro é enquadrado como suboperador de acordo com o Guia Orientativo. Existe contrato escrito entre o Operador e o Controlador, no entanto, não há qualquer autorização, mesmo que genérica, para a figura do suboperador que realiza a hospedagem terceirizada. Acrescente-se ainda que o serviço de hospedagem em nuvem é reconhecido pelo mercado como de alto padrão de segurança e boas práticas. Neste outro caso em análise, qual seja, a ausência de autorização do controlador para contratação de serviço seguro de hospedagem em nuvem, prática frequente no Brasil, haveria fundamento para se concluir que a mera inobservância de recomendação constante de um Guia Orientativo da Autoridade constituiria uma infração nos moldes previstos pelo Art. 2º, II do Regulamento? Estaria este fato apto a gerar sanção uma administrativa?
As perguntas acima, a nosso ver, não trazem uma resposta singela "sim" ou "não". Independente do posicionamento adotado, nos parece que haverá argumentos consistentes e robustos para ambos os lados, o que poderá trazer insegurança jurídica para milhares, talvez milhões de agentes de tratamento no país, dada a essencialidade que estas atividades representam, seja no setor público, seja na iniciativa privada.
Sem qualquer pretensão de resolver os complexos temas abordados, a intenção do presente artigo consiste no fomento ao debate e reflexão. Espera-se que a ANPD, em sua missão de zelar e fomentar a proteção dos dados pessoais no país, esteja sempre aberta às críticas construtivas, como tem demonstrado desde sua criação.
__________
1 Disponível aqui.
2 "Art. 28. As disposições constantes deste Regulamento aplicam-se também aos processos administrativos em curso quando de sua entrada em vigor".
3 Disponível aqui. Acesso em 09 mar. 2023.
4 Disponível aqui. Acesso em 09 mar. 2023.
5 RESOLUÇÃO CD/ANPD Nº 1, DE 28 DE OUTUBRO DE 2021 - Aprova o Regulamento do Processo de Fiscalização e do Processo Administrativo Sancionador no âmbito da Autoridade Nacional de Proteção de Dados (alterado pela RESOLUÇÃO CD/ANPD Nº 4, DE 24 DE FEVEREIRO DE 2023).
6 RESOLUÇÃO CD/ANPD Nº 2, DE 27 DE JANEIRO DE 2022 - Aprova o Regulamento de aplicação da Lei nº 13.709, de 14 de agosto de 2018, Lei Geral de Proteção de Dados Pessoais (LGPD), para agentes de tratamento de pequeno porte.
7 "Cabe destacar, ainda, algumas das obrigações do operador: (i) seguir as instruções do controlador; (ii) firmar contratos que estabeleçam, dentre outros assuntos, o regime de atividades e responsabilidades com o controlador; (iii) dar ciência ao controlador em caso de contrato com suboperador." Disponível aqui. Acesso em 09 mar. 2023. p. 17. par. 54.
8 Disponível aqui. Acesso em 09 mar. 2023. p. 20. par. 67.
9 A inspiração da ANPD decorre do termo "Subcontratante" constante do Artigo 28 da versão em língua Portuguesa do Regulamento Geral sobre a Proteção de Dados Europeu - Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho de 27 de abril de 2016.
10 "Muito embora não exista um conceito de suboperador na LGPD, o tema pode ser utilizado como parâmetro de análise para compreensão de cadeias mais complexas de tratamento de dados." Disponível aqui. Acesso em 09 mar. 2023. p. 29. par. 64.
11 Disponível aqui. Acesso em 09 mar. 2023. p. 20. par. 67.