Mídia
Com o advento do Regulamento de Dosimetria e Aplicação de Sanções Administrativas, publicado em 27 de fevereiro de 2023, por meio da Resolução CD/ANPD Nº 4¹, que definiu o procedimento fiscalizatório e de aplicação de penalidades pela Agência Nacional de Proteção de Dados – ANPD, o principal questionamento das empresas gira em torno do que esperar do Órgão regulador, que agora se considera totalmente apto a exercer sua atuação sancionatória no âmbito administrativo.
Até o momento, já foram instaurados pela ANPD 08 (oito) processos administrativos sancionatórios, todos ainda em fase de instrução, em face de agentes que descumpriram a Lei Geral de Proteção de Dados – LGPD, sendo 07 (sete) delas ligadas à Administração Pública e 01 (uma) do setor privado.
Apesar de ainda não existir condenação, é inegável que as entidades envolvidas já foram afetadas em razão da publicidade promovida pela ANPD ao divulgar não apenas seus nomes, mas também as condutas cometidas. A difusão conferida pela ANPD, sem sombra de dúvida, impacta negativa e diretamente na imagem e reputação dos entes, além de transmitir um sentimento de insegurança para todos os titulares de dados que, de alguma forma, com elas se relacionam.
O impacto é mais severo no caso de empresas privadas, para as quais a publicização pode causar prejuízos irreparáveis à reputação, inclusive consequências econômicas até mais graves do que uma penalidade pecuniária, em decorrência da comprovada e crescente preocupação dos cidadãos com o uso indevido de seus dados pessoais e também do fato de a conformidade com a LGPD ser, atualmente, uma usual condição para que sejam firmadas novas parcerias e negócios.
A alta administração da ANPD já se manifestou sobre a sua forma inicial de atuação, que será responsiva e proporcional ao comportamento dos agentes regulados, de modo que todas as suas ações serão alinhadas às peculiaridades do caso concreto e individualidade do infrator.
Inicialmente, serão adotados pelo Órgão, métodos de monitoramento extensivo e superficial, especialmente focados no nível de exposição de dados pessoais, para identificação de potenciais infratores. Uma vez identificadas as situações de desconformidade, a atuação da ANPD terá cunho orientativo/educacional, visando à adequação do infrator aos termos da LGPD, inclusive com indicação das medidas que precisam ser adotadas ou corrigidas. Por fim, caso não respeitadas as orientações emanadas da ANPD, com nítido descaso por parte dos agentes regulados, dar-se-á início ao processo repressivo, mediante instauração de processo administrativo sancionatório.
Cumprindo a promessa de transparência ativa, que não se confunde com a penalidade de publicização das sanções, ao divulgar a lista dos 8 (oito) processos instaurados, a ANPD justificou ter se pautado nas seguintes motivações até o momento:
i. Ausência de nomeação de encarregado de dados pessoais;
ii. Não envio de relatório de impacto de proteção de dados;
iii. Ausência de medidas de segurança;
iv. Ausência de comunicação de incidente de segurança a ANPD e titulares;
v. Ausência de comprovação de hipótese legal;
vi. Ausência de registro de operações; e
vii. Não atendimento à requisição da ANPD.
Vale destacar que, previamente à instauração dos processos, grande parte das entidades já haviam sido notificadas pela ANPD para corrigirem as infrações identificadas. Ademais, observa-se que a ANPD não exigiu nada além dos requisitos dispostos na própria LGPD, inclusive aspectos básicos de um programa de governança em proteção de dados, até mesmo porque, conforme indicado, a ANPD não irá inovar em suas cobranças e se pautará apenas em assegurar que aquilo que está previsto na legislação seja observado.
Dessa forma, respondendo aos anseios dos empresários face ao início da atuação sancionatória da ANPD, é importante destacar que o caminho a ser percorrido para afastar o risco de se tornar alvo de processo administrativo sancionatório da ANPD, consiste basicamente em se manter bem-informado e assessorado para buscar a conformidade com a lei no que diz respeito à proteção de dados pessoais
O primeiro passo recomendável é a implementação de um programa de governança em proteção de dados, que deverá ser seguido de um trabalho contínuo de atualização/revisão e monitoramento, sempre amparado no auxílio de profissionais especializados, inteirados e alinhados com o posicionamento da ANPD, especialmente nessa nova fase e forma de atuação do Órgão.
Portanto, concretamente, a ANPD irá avaliar no momento de uma fiscalização, para além da existência de uma infração, se a empresa possui mecanismos efetivos de proteção de dados, como o mapeamento dos dados pessoais que trata, nomeação de um encarregado de dados pessoais, planos de ação e mitigação de riscos, relatório de impacto, medidas de segurança cibernética e treinamentos periódicos, todos desenvolvidos para sustentar um programa de governança em proteção de dados.
A partir da adoção desses mecanismos, o risco de aplicação de uma sanção pela ANPD é exponencialmente reduzido, na medida em que uma infração à LGPD não resulta necessariamente na aplicação de uma penalidade. Na hipótese de ser possível comprovar que a empresa ou entidade possuía uma cultura de proteção de dados e procedimentos internos capazes de minimizar a ocorrência ou a extensão dos danos, a condenação pode ser afastada ou, ao menos, a penalidade pode ser atenuada, com redução em até 75%, em caso de multas pecuniárias.
Verifica-se, portanto, que o investimento em um adequado programa de governança em proteção de dados apenas traz reflexos positivos às empresas que se dedicam a buscar a verdadeira conformidade com a lei.
____
¹ Disponível em: https://www.gov.br/anpd/pt-br/assuntos/noticias/anpd-publica-regulamento-de-dosimetria/Resolucaon4CDANPD24.02.2023.pdf – Acesso em 17/04/2023