A criação de uma cultura de privacidade e proteção de dados pessoais no Brasil é urgente e vem se consolidando aos poucos. Deve-se compreender que as pessoas são peças chave para proteger os dados pessoais tratados em uma organização, e por isso há muito a ser ensinado e aprendido sobre o tema que já é pauta recorrente nas organizações e no dia a dia do cidadão brasileiro. 

Passados 04 (quatro) anos da promulgação da  lei 13.709, de 14 de agosto de 2018, denominada de Lei Geral de Proteção de Dados Pessoais (LGPD), que tem como premissa proteger os direitos fundamentais de liberdade e de privacidade e a livre formação da personalidade de cada indivíduo, a mudança de cultura em prol da proteção de dados pessoais ainda é uma realidade incipiente na governança organizacional das instituições públicas e empresas privadas brasileiras.  

Recentemente, a Autoridade Nacional de Proteção de Dados (ANPD) foi transformada em autarquia com status de agência reguladora. A entidade, que era vinculada à Secretaria Geral da Presidência da República, passa a ter vínculo com o Ministério da Justiça e Segurança Pública, através da Medida Provisória 1.154/2023, que reorganizou a estrutura ministerial do poder executivo. Dessa forma, acreditamos que o processo de fiscalização será intensificado em 2023, posto ser a ANPD o órgão federal responsável por zelar pela proteção de dados pessoais, através da fiscalização e aplicação da LGPD. 

Essa crença é reforçada através da aprovação da agenda regulatória da Autoridade para o biênio de 2023/2024, por meio da portaria nº 11, de 27 de janeiro de 2021, sendo considerada um instrumento de planejamento das suas ações regulatórias prioritárias, conferindo publicidade, previsibilidade, transparência e eficiência ao processo regulatório, e possibilitando seu acompanhamento pela sociedade ao mesmo tempo em que propicia segurança jurídica na relação com os agentes regulados.  

Ao todo, estão previstas 20 (vinte) ações na referida agenda, das quais destacamos o regulamento de dosimetria e aplicação de sanções administrativas em cumprimento ao artigo 52 e seguintes da LGPD, por impactar diretamente no processo de fiscalização e de aplicação das sanções referidas na legislação. Isto porque, de acordo com o artigo 55-K da LGPD, a fiscalização e a aplicação de sanções são atribuições exclusivas da ANPD. 

Tal previsão em destaque faz cair por terra o sentimento de muitos, de que a LGPD seria mais uma lei com o plano de eficácia frustrado, pois o cenário demonstra o oposto. 

Isto porque, em leitura atenta ao artigo 53 da LGPD, percebe-se a necessidade de edição de um regulamento próprio para que as sanções administrativas cabíveis às infrações à LGPD possam ser aplicadas pela Autoridade. Vejamos : 

Art. 53. A autoridade nacional definirá, por meio de regulamento próprio sobre sanções administrativas a infrações a esta Lei, que deverá ser objeto de consulta pública, as metodologias que orientarão o cálculo do valor-base das sanções de multa.   

§ 1º As metodologias a que se refere o caput deste artigo devem ser previamente publicadas, para ciência dos agentes de tratamento, e devem apresentar objetivamente as formas e dosimetrias para o cálculo do valor-base das sanções de multa, que deverão conter fundamentação detalhada de todos os seus elementos, demonstrando a observância dos critérios previstos nesta Lei. 

§ 2º O regulamento de sanções e metodologias correspondentes deve estabelecer as circunstâncias e as condições para a adoção de multa simples ou diária.

O caput do referido artigo é claro ao salientar a necessidade de consulta pública, ocorrida entre os dias 02 à 15 de setembro de 2022 com o escopo de elaborar resolução complementar ao Regulamento do Processo de Fiscalização  do Processo Administrativo Sancionador, em vigor desde 28 de outubro de 2021 na forma da resolução CD/ANPD nº 1.

Através desta resolução complementar ao regulamento, a Autoridade visa um modelo de aplicação de sanções que recompense as organizações pela observância à lei, garantindo um processo administrativo com contraditório, ampla defesa e direito à recurso, em consonância com o artigo 55-J, IV da LGPD,  que assim ensina: 

Art. 55-J. Compete à ANPD:     

[...]    

IV - fiscalizar e aplicar sanções em caso de tratamento de dados realizado em descumprimento à legislação, mediante processo administrativo que assegure o contraditório, a ampla defesa e o direito de recurso. 

Tal consulta culminou em audiência pública no dia 16 de agosto de 2022, recebendo a Autoridade mais de 2.500 contribuições analisadas pela Coordenação-Geral de Normatização para fins de elaboração da versão final da resolução que estabelece os critérios e parâmetros de aplicação das sanções do artigo 52 da LGPD. 

De acordo com a LGPD, as sanções só poderão ser aplicadas de acordo com as peculiaridades do caso concreto, sempre de forma gradativa, seja isolada ou cumulativamente, e após procedimento administrativo com proferimento de decisão fundamentada da ANPD. Eis o que determina o § 1º do citado artigo da legislação: 

Art. 52. Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas nesta Lei, ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional:

[...]

§ 1º As sanções serão aplicadas após procedimento administrativo que possibilite a oportunidade da ampla defesa, de forma gradativa, isolada ou cumulativa, de acordo com as peculiaridades do caso concreto e considerados os seguintes parâmetros e critérios.

Dessa forma, a tão aguardada versão final foi publicada em 27 de fevereiro, de 2023 sob o título de Resolução CD/ANPD nº 4, definindo as regras quanto à Dosimetria e Aplicação de Sanções Administrativas, e assim, complementando o Regulamento do Processo de Fiscalização e do Processo Administrativo Sancionador, anteriormente aprovado pela Resolução CD/ANPD nº 1.

A entrada em vigor da Resolução CD/ANPD nº 4 representa um grande marco, alavancando a efetividade plena da LGPD como um verdadeiro estímulo para que as empresas iniciem os programas de adequação e conformidade à lei. Além disso, traz segurança jurídica aos processos fiscalizatórios e garante o direito ao devido processo legal e ao contraditório.

Destacamos as seguintes novidades trazidas pela referida Resolução: (i) classificação das infrações em leve, média, ou grave, levando em conta os direitos pessoais afetados e a natureza e a gravidade da infração; (ii) hipóteses de aplicabilidade das sanções de advertência e multa simples junto à apresentação da metodologia de definição do valor-base desta; (iii) rol de circunstâncias agravantes e atenuantes na aplicação de multa simples; (iv) metodologia de aplicação da sanção de multa diária; (v) prazo para o pagamento da sanção de multa; (vi) condição de aplicação da sanção de publicização atrelada ao interesse público e à relevância da matéria; (vii) a aplicação das sanções de suspensão parcial e total do funcionamento do banco de dados condicionadas à avaliação do interesse público, ao impacto causado aos direitos dos titulares de dados pessoais, à classificação da infração e ao grau de complexidade na regularização da atividade de tratamento por parte do infrator; (viii) aplicação da sanção de proibição do exercício da atividade de tratamento de dados condicionada à eventual reincidência em infração anteriormente punida com suspensão parcial do funcionamento do banco de dados ou com a suspensão do exercício da atividade de tratamento, ou ainda, a eventual tratamento ilícito de dados pessoais; e (ix) possibilidade de afastamento da metodologia de dosimetria na aplicação da sanção de multa bem como a substituição da mesma por outra constante no Regulamento, de acordo com a proporcionalidade, desde que haja motivação e fundamentação na decisão.

A aprovação da resolução foi um passo importante para que, através da regulação das sanções, os processos de fiscalização possam alcançar a efetividade fazendo com que as empresas adotem medidas preventivas no que diz respeito à proteção de dados.

Como estudos futuros, aguardamos a edição de novas Resoluções a fim de investigar outras ações previstas na Agenda Regulatória da ANPD, mas carentes de regulamentação específica, o que vai de encontro à determinação da LGPD, que ensina:

Art. 55-J. Compete à ANPD:   

[...]       

XIII - editar regulamentos e procedimentos sobre proteção de dados pessoais e privacidade, bem como sobre relatórios de impacto à proteção de dados pessoais para os casos em que o tratamento representar alto risco à garantia dos princípios gerais de proteção de dados pessoais previstos nesta Lei.

Como temas que se demonstram lacunosos e carecem de regulamentação por parte da ANPD temos a transferência internacional de dados, os direitos dos titulares e os novos formulários para comunicados de incidentes de segurança. Segundo o Diretor-presidente da ANPD, Waldemar Ortunho, o objetivo não é virar uma fábrica de multas, mas conscientizar todos os envolvidos do uso e da importância de sua privacidade e de seus dados pessoais (VALOR ECONÔMICO, 2023).

Assim, os próximos passos da ANPD considerarão a agenda regulatória como parâmetro de um cronograma que será seguido e respeitado, principalmente ao colmatar lacunas da LGPD que precisam de integração, não restando dúvidas ser tal atividade um exemplo de heterointegração diante da competência da Autoridade para tanto. 

Referências

BRASIL. Emenda Constitucional n^o 115, de 11 de fevereiro de 2022. Altera a Constituição Federal para incluir a proteção de dados pessoais entre os direitos e garantias fundamentais e para fixar a competência privativa da União para legislar sobre proteção e tratamento de dados pessoais. Disponível aqui. Acesso em: 11 fev. 2023.

BRASIL. Lei Federal N^o 12.527, de 18 de novembro de 2011. Regula o acesso a informações previsto no inciso XXXIII do art. 5^o , no inciso II do § 3^o do art. 37 e no § 2^o do art. 216 da Constituição Federal; altera a lei 8.112, de 11 de dezembro de 1990; revoga a lei 11.111, de 5 de maio de 2005, e dispositivos da lei 8.159, de 8 de janeiro de 1991; e dá outras providências. Disponível aqui. Acesso em: 31 jan. 2023.

BRASIL. Lei Federal N^o 13.709 de 14 de Agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD), 15 ago. 2018, Sec. 1, p. 59. Disponível aqui. Acesso em: 31 jan. 2023.

BRASIL. Lei Federal N^o 14.129, de 29 de Março de 2021. Dispõe sobre princípios, regras e instrumentos para o Governo Digital e para o aumento da eficiência pública e altera a lei 7.116, de 29 de agosto de 1983, a lei 12.527, de 18 de novembro de 2011 (Lei de Acesso à Informação), a lei 12.682, de 9 de julho de 2012, e a lei 13.460, de 26 de junho de 2017. . 30 mar. 2021, Sec. 1, p. 3.  Disponível aqui. Acesso em: 31 jan. 2023.

BRASIL. Medida Provisória nº 1.154/2023, de 1º de janeiro de 2023. Estabelece a organização básica dos órgãos da Presidência da República e dos Ministérios. Disponível aqui. Acesso em: 11 fev. 2023.

BRASIL, Resolução CD/ANPD nº dia 1, de 28 de outubro de 2021.Aprova o Regulamento do Processo de Fiscalização e do Processo Administrativo Sancionador no âmbito da ANPD. Disponível aqui. Acesso em 13 fev 2023.

Lei de proteção de dados entra em nova fase este ano. Agenda regulatória prevê definição de 20 itens até dezembro. Jornal Valor Econômico, 11, 12 e 13 de fevereiro de 2023. Disponível aqui. Acesso em: 13 fev 2023.