Dia 27 de fevereiro de 2023, recebemos com alegria, o regulamento sobre a dosimetria e aplicação de sanções administrativas da ANPD (Autoridade Nacional de Proteção de Dados). E não porque a ideia é que todos sejam penalizados raivosamente, mas sim, porque demonstra a evolução da privacidade no país.
O Regulamento era muito esperado, pois além da conscientização é imperioso que ocorram as fiscalizações e aplicações de sanções, quando cabível. O documento detalhou critérios, prazos e valores e, em nossa opinião, por ora, atende o mercado em partes, porque traz agravantes e atenuantes, com base no comportamento da empresa. Entendemos que esse cenário é muito interessante, pois através dessa variação, de atenuar ou agravar a pena, as organizações poderão compreender a importância da prevenção, e que ensinar pelo exemplo é um dos melhores caminhos.
Muitos profissionais da área de privacidade e proteção de dados pessoais já emitiram suas opiniões e o assunto está mais em voga do que nunca. Em 1º de março de 2023, a ANPD realizou uma live, tirando dúvidas que foram trazidas por ela, bem como respondendo algumas questões feitas ao vivo.
Diversos pontos foram apresentados, e a Autoridade explicou que a ação fiscalizatória ocorre desde a sua constituição, que a privacidade dos titulares deve ser preservada e, que optaram por um modelo de valoração, a fim de trazer segurança aos agentes de tratamento e à ANPD.
Outros tópicos mencionados:
- Em pese o poder público não receber multas, há outros instrumentos que podem ser utilizados para sancioná-lo;
- O tema de dosimetria foi tratamento através de um regulamento, não somente pelo que estabelece o artigo 52 da LGPD, mas também, por ser um assunto muito técnico e ter sido avaliado por especialistas;
- Para empresas que não têm faturamento, há uma tabela especial, com mínimo e máximo, considerando, também, a gravidade do dano, para que seja feito um cálculo e cheguem ao valor da infração;
- A intenção da ANPD não é gerar multas, mas sim, buscar equilíbrio e resolver problemas.
Ter a dosimetria é um avanço, pois esclarece a forma de aplicação das sanções e, principalmente, demostra que, sim, isso pode acontecer. Dizer para as organizações que elas precisam se adequar à LGPD é chover no molhado, no entanto, é fundamental que elas compreendam a importância da responsabilização quando da realização de tratamentos irregulares. Que a tão esperada mudança de mindset somente ocorrerá quando a teoria virar prática.
Há necessidade da compreensão de que, a privacidade dos titulares de dados precisa ser respeitada, quer seja via conscientização, via aplicação de sanções ou por ambas. Obviamente, não se espera que a ANPD vire uma “indústria de multas”, esse não é nem nunca foi o objetivo! Todavia, se a LGPD traz essa possibilidade, e caso seja cabível, não há por que não aplicar as sanções necessárias.
Resumindo: quem causar dano, precisa assumir a responsabilidade e repará-lo! Já passamos da fase de falar sobre conceitos, sobre teoria, sobre o básico. Agora, chegou o momento da atuação e da responsabilização!
E muitas perguntas ainda precisarão ser respondidas, como por exemplo:
- Como se dará a responsabilidade específica do DPO?
- Quando a sociedade terá acesso às ações sancionatórias?
- Haverá reconhecimento e valoração da adoção de boas práticas? Se sim, como isso será feito?
- Ocorrerão fiscalizações sem denúncias?
- Há a possibilidade da elaboração de TACs?
- Qual a previsão para a aplicação das primeiras sanções?
- No início das fiscalizações, serão utilizados órgão como o PROCON, por exemplo, para apoio?
- Como será tratado o tema enriquecimento de bases?
- Como funcionará a substituição de aplicação de sanção mencionada no artigo 27 do regulamento?
Veja, esses questionamentos são apenas alguns exemplos. Há uma gama de perguntas que precisam de respostas, a fim de favorecer o entendimento e a atuação dos profissionais de privacidade e proteção de dados pessoais.
Durante a referida live, pela quantidade de perguntas, tomamos a liberdade de sugerir a elaboração de uma FAQ, com todas as respostas das perguntas mais realizadas, a fim de ajudar os profissionais de privacidade a entender o raciocínio da ANPD, bem como facilitar as orientações a todos os envolvidos nos tratamentos de dados pessoais.
A conscientização sempre será necessária, sempre será útil, sempre será a melhor ferramenta de conhecimento, porém, quando ela deixar de funcionar, será necessário avaliar cada caso e aplicar as sanções estabelecidas ele lei, com o intuito evitar problemas e resolver os que já ocorreram, quer seja por falta de conhecimento, quer seja por má-fé.
Em suma: Algumas explicações foram dadas, e ainda aguardamos algumas respostas. A mencionada live está salva no Youtube: https://www.youtube.com/watch?v=nMfwYNW1w04
Então, sigamos otimistas e aguardemos os próximos passos!