A atividade preventiva da ANPD deve, necessariamente, anteceder a repressiva?

A ANPD, Autoridade Nacional de Proteção de Dados, por meio de seu Conselho Diretor, aprovou a Resolução CD/ANPD n. 1, de 28 de outubro de 2021, denominada "Regulamento do Processo de Fiscalização e do Processo Administrativo Sancionador no Âmbito da ANPD", aplicável aos titulares de dados, aos agentes de tratamento e às pessoas naturais ou jurídicas, de direito público ou privado, bem como aos demais interessados no tratamento de dados pessoais, conforme previsto no artigo 13 do normativo, que entrou em vigor na data de sua publicação. 

O Regulamento tem por objetivo estabelecer os procedimentos inerentes ao processo de fiscalização, que abarca as atividades de monitoramento, de orientação e de atuação preventiva, e as regras a serem observadas no âmbito do processo administrativo sancionador. 

De acordo com o artigo 15 do Regulamento, é objeto da atuação responsiva da autoridade nacional tanto a aplicação de multas e sanções administrativas, como também o levantamento de informações e dados relevantes para subsidiar a tomada de decisões com o fim de assegurar o bom funcionamento do ambiente regulado (atividade de monitoramento); conscientizar e educar os agentes de tratamento e os titulares de dados pessoais (atividade de orientação); e a construção conjunta e dialogada de soluções e medidas para a recondução do agente de tratamento à plena conformidade (atividade preventiva). 

Leitura atenta do normativo suscita importante questão a ser esclarecida: o cumprimento das diligências previstas no Capítulo IV, que se refere à atividade preventiva da ANPD, seria condição indispensável à instauração do processo administrativo sancionador?

Antes de adentrar ao mérito da indagação feita acima, cumpre tecer breves considerações acerca da atividade preventiva, que consiste, como dito, em uma atuação baseada, preferencialmente, na construção conjunta e dialogada de soluções e medidas.

Essas medidas, estatui o artigo 31 da Resolução em comento, não constituem sanção ao agente regulado, mas visam reconduzir o agente à plena conformidade ou evitar ou remediar situações que acarretem risco ou dano aos titulares de dados pessoais, por meio de divulgação de informações; aviso; solicitação de regularização ou informe; e plano de conformidade, sendo que outras medidas podem ser implementadas, conforme o caso. 

O aviso deverá descrever a situação e prestar as informações suficientes para que o agente de tratamento tenha como identificar as providências necessárias. 

A solicitação de regularização destina-se a situações em que a regularização deva ocorrer em prazo determinado e cuja complexidade não justifique a elaboração de plano de conformidade. 

O informe, que possui mesmo objetivo da solicitação de regularização, será usado quando ocorrer infração em decorrência do tratamento de dados pessoais por órgãos públicos. Ambos deverão conter as informações suficientes para que o agente de tratamento tenha como identificar as providências necessárias e o prazo de comprovação de regularização, que poderá ser prorrogado, desde que devidamente justificado, pelo agente regulado, o pedido de postergação. 

O plano de conformidade, última medida descrita nessa seção da Resolução, deverá conter, minimamente, I - objeto; II - prazos; III - ações previstas para reversão da situação identificada; IV - critérios de acompanhamento; e V - trajetória de alcance dos resultados esperados. 

As ações para a reversão e a trajetória de alcance dos resultados abarcarão, certamente, os três pilares do programa de compliance à LGPD, que são: 1 - Jurídico, consistente na verificação da legalidade das operações de tratamento dos dados pessoais, relacionando cada operação à finalidade e à respectiva base legal, revisão de contratos, dentre outros; 2 - Governança, preocupada com a adoção de medidas no âmbito da administração gerencial, como, por exemplo, a elaboração de políticas corporativas; e 3 - Tecnologia, com enfoque na adoção de medidas no âmbito da segurança da informação, tais como a utilização de ferramentas de autenticação de aceso aos sistemas, recursos de controle de tráfego de dados em rede, detectores de invasões de sistemas, criptografia e segregação de servidores. 

Merece destaque, por oportuno, o quanto disposto no §4º do art. 35 e no §3º do artigo 36, cerne da questão aqui posta, na medida em que disciplina a consequência do desatendimento à solicitação de regularização ou do plano de conformidade, a saber, a progressão da atuação da ANPD para, a seu critério, adotar outras medidas preventivas ou para a atuação repressiva. 

Assim, uma vez que a atividade preventiva já abriga as situações que acarretem risco ou dano (situações estas que configuram infrações à legislação de proteção de dados), e tem como resultado da inobservância das diligências atribuídas à atividade preventiva da ANPD para a recondução do agente à plena conformidade (o que, de igual forma, é uma infração no contexto da LGPD), a atuação repressiva, é factível defender que a resposta à indagação seja afirmativa, de forma que se afigura imprescindível uma construção conjunta e dialogada das soluções e medidas previstas no Capítulo IV do Regulamento, para que, então, seja instaurado o processo administrativo sancionador em face do agente regulado infrator. 

O tema da proteção de dados é cada vez mais discutido nos diversos setores da sociedade e algumas organizações e profissionais autônomos já conseguiram avançar e cumprir as medidas para se adequarem às exigências normativas trazidas com o advento da LGPD, investindo no desenvolvimento e adequação de suas estruturas.  

Alias, a Autoridade Nacional, que já havia lançado, em outubro do ano passado, um guia orientativo de segurança da informação direcionado aos agentes de tratamento de pequeno porte, publicou, no dia 28/01/2022, regulamentação para este mesmo grupo, como micro e pequenas empresas, startups e organizações sem fins lucrativos. O Regulamento tem como objetivo facilitar que agentes de tratamento de pequeno porte se adequem às normas da LGPD. 

Contudo, muitos ainda se encontram perdidos ou em estágios muito iniciais de adequação, e temem receber a autuação da autoridade nacional e sofrer as penalidades previstas na legislação, que podem variar desde a mera advertência a multas ou até mesmo a proibição parcial ou total do exercício de atividades relacionadas ao tratamento de dados pessoais. 

O que se percebe é que a ANPD tem preferido, nesse primeiro momento, exercer as atribuições concernentes à uniformização de conceitos, à interpretação e aplicação na LGPD, firmar convênios e acordos de cooperação com outros órgãos e entidades públicos responsáveis pela regulação de setores específicos da atividade econômica e governamental, não tendo, até então, exercido o seu papel sancionador, aplicado sanções e nem mesmo iniciado o processo administrativo previsto nos artigos 37 e seguintes da Resolução 1.

Por fim, cumpre pontuar que a Resolução preconiza uma abordagem responsiva, ou seja, de maneira gradual, baseada no comportamento do regulado e alicerçada em um plano de monitoramento do setor que permita a priorização de temas segundo seu risco, gravidade, atualidade e relevância.