Mídia
Como um novo passo na criação de uma cultura de proteção de dados, a Resolução CD/ANPD Nº 4¹, publicada em 27 de fevereiro de 2023, regulamenta os artigos 52 e 53 da Lei nº 13.709, de 14 de agosto de 2018 – Lei Geral de Proteção de Dados e altera a Resolução CD/ANPD nº 1, de 28 de outubro de 2021. Com efeito imediato a partir da publicação, a Autoridade Nacional de Proteção de Dados (ANPD) poderá aplicar sanções administrativas decorrentes de violações à LGPD, seguindo parâmetros objetivos estipulados pelo Regulamento, bem como metodologia definida para dosimetria do valor-base das multas pecuniárias.
Muito embora inúmeras discussões sobre o tema de proteção de dados pessoais e aplicação de multas tenham ocorrido no âmbito judicial, haja vista que cerca de 100 processos que circundam a matéria foram tornados públicos mediante divulgação do portal da transparência da ANPD², ocorre que na esfera administrativa apenas agora a ANPD, na qualidade de órgão responsável pela fiscalização e aplicação de sanções relativas à proteção de dados pessoais, está apta a tomar frente nas discussões relativas a infrações.
Para tanto, o Regulamento definiu que a aplicação das sanções pela ANPD, além de ser gradativa, deve pautar-se na peculiaridade do caso concreto e individualidade do infrator, de modo a respeitar a proporcionalidade da gravidade da conduta do agente e da sanção a ser aplicada, observando os parâmetros e critérios dispostos em seu artigo 7º, como: grau do dano, vantagem auferida ou pretendida pelo infrator, condição econômica do infrator, reincidência (se específica ou genérica), cooperação do infrator, assim como a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar a ocorrência ou a extensão do dano – em outras palavras um programa de governança em proteção de dados.
Com o fim de assegurar a proporcionalidade na aplicação das sanções, que ocorrerá de forma gradativa, isolada ou cumulativa, o Regulamento estabelece, em seu artigo 8º, uma classificação segundo a gravidade e a natureza das infrações e dos direitos pessoais afetados, entre leve, média ou grave, sendo que a definição quanto à classificação da infração decorrerá diretamente da consequência gerada aos titulares dos dados, o que dependerá de uma análise casuística e subjetiva da ANPD. Seu posicionamento acerca desta análise subjetiva somente ficará claro após o início da aplicação do Regulamento.
A classificação das infrações afeta diretamente a definição quanto às sanções que poderão ser aplicadas ao infrator (artigo 3º do Regulamento), devendo ser observada uma ordem progressiva. Assim, exemplificativamente, aquelas mais gravosas – suspensão parcial do funcionamento do banco de dados, suspensão do exercício da atividade de tratamento dos dados pessoais e proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados – somente poderão ser aplicadas quando já tiver sido imposta sanção mais branda prevista na Resolução.
O Regulamento estabelece, ainda, a observância das garantias de direito processual, ao estipular que as sanções somente serão aplicadas após devido procedimento administrativo, mediante decisão fundamentada da ANPD, assegurado o direito à ampla defesa, ao contraditório e ao devido processo legal.
Com base no nítido fator inspiracional da LGPD em relação à legislação europeia de proteção de dados pessoais (General Data Protection Regulation – GDPR) e a atuação do seu órgão responsável pela fiscalização e aplicação de sanções, que já aplicou mais de 293 milhões de euros em sanções, distribuídos em mais de 700 condenações desde sua a entrada em vigor (2018), a tendência é que, no Brasil, sejam seguidos os mesmos passos no que tange à aplicação de sanções.
Neste ponto, é preciso relembrar o cenário encontrado na Europa após a entrada em vigor da GDPR, que se apresentou com baixa aplicação de sanções nos primeiros meses, visto que as autoridades locais priorizaram inicialmente a orientação e depois a aplicação de sanções, que depois de iniciada consistiu, em sua maioria, em altas multas pecuniárias e relevante prejuízo aos infratores.
Assim, considerando que a entrada em vigor da LGPD ocorreu em setembro de 2020 e que desde então a ANPD tem se empenhado na publicação de orientações sobre a LGPD, é possível que essa a fase de pura conscientização esteja próxima do fim e que o cenário que encontraremos após a publicação da resolução seja de imediata dedicação da ANPD à fiscalização e aplicação de sanções. As penalizações poderão ser inicialmente mais brandas, considerando a recente manifestação do órgão no sentido de que prezará pelo viés orientativo e educativo, assim como pela proporcionalidade.
Com a publicação do Regulamento de Dosimetria das Sanções Administrativas ficou ainda mais clara a importância das empresas e organizações investirem na criação de uma cultura de proteção de dados e em programas de governança em privacidade.
Há que ser levado em conta que, ao fim, será menos custoso e danoso para a empresa/organização investir em treinamentos e programas efetivos, que além de evitarem a ocorrência da infração podem implicar em até 75% de redução na multa, do que vir a ter que arcar com as possíveis sanções a serem aplicadas pela ANPD, em especial considerando a cobrança já existente no mercado para comprovação de conformidade com a LGPD como condição para que sejam firmadas novas parcerias e negócios.
___
¹ Disponível em: https://www.gov.br/anpd/pt-br/assuntos/noticias/anpd-publica-regulamento-de-dosimetria/Resolucaon4CDANPD24.02.2023.pdf – Acesso em 13/03/2023
² Disponível em: https://anppd.org/violacoes – Acesso em 13/02/2023