ANPD aplica sua terceira sanção

A Autoridade Nacional de Proteção de Dados (ANPD) publicou, no dia 18/10/2023, a sua terceira Sanção, desta vez aplicada contra órgão público do Estado de Santa Catarina. As sanções foram impostas pela contrariedade do órgão aos artigos 48 e 49 da Lei Geral de Proteção de Dados Pessoais (LGPD), bem como ao artigo 5º, I, do Regulamento de Fiscalização, conforme delineado pelo processo administrativo conduzido pela Coordenação-Geral de Fiscalização (CGF).

Das quatro violações identificadas pela CGF, três foram categorizadas como graves. Conforme a decisão emanada pela ANPD, o órgão teria negligenciado a segurança dos sistemas que armazenam e tratam dados pessoais dos cidadãos de Santa Catarina atendidos pelo sistema estadual público de saúde.

Além disso, após um incidente de segurança, o órgão não esclareceu de forma clara, adequada e tempestiva quais os dados pessoais comprometidos, impactando cerca de 300 mil titulares de dados que não foram comunicados sobre o incidente. Adicionalmente, o órgão não forneceu o Relatório de Impacto de Proteção de Dados Pessoais (RIPD) quando solicitado e não disponibilizou outras informações requisitadas pela Autoridade.

Como resultado, a ANPD decidiu impor quatro advertências, uma para cada violação identificada. Como medidas coercitivas, o órgão foi instruído a disponibilizar um comunicado sobre o incidente de segurança em seu site oficial por um período de 90 dias e a notificar diretamente aqueles cujos dados foram potencialmente afetados pelo incidente.

É possível observar um padrão nas sanções aplicadas até a presente data pela ANPD. Em sua primeira decisão, a ANPD sancionou empresa de telemarketing por oferecer listagens de contatos eleitorais sem respaldo legal para clientes e por não apresentar evidências da designação de um encarregado para o tratamento de dados pessoais. Além disso, a ausência de provas de que a empresa não realizava tratamentos de alto risco foi um ponto de destaque.

Já no caso da segunda sanção, restou aplicada contra um órgão público do Estado de São Paulo, ante à inexistência de garantia de sistemas seguros para armazenar e tratar os dados dos servidores do Estado e seus dependentes. Como agravante, o órgão sancionado também não comunicou de maneira adequada um incidente de segurança que comprometeu esses dados.

 

Para mais informações, consulte os profissionais da área de Governança Corporativa e Programas de Compliance do GSGA.

Como o Poder Judiciário está interpretando a LGPD?

Passados praticamente 2 anos de vigência da LGPD¹ é interessante analisar quais questões relacionadas a essa Lei estão sendo levadas ao Poder Judiciário brasileiro, como está sendo feita sua interpretação e respectivas consequências.

Em caso recente (março/2023) julgado pelo STJ² foi afastado o pedido de indenização por danos morais pautado no simples vazamento de dados pessoais. Essa Corte reconheceu que o vazamento de dados é uma falha, mas a sua simples ocorrência, sem a demonstração efetiva de dano moral suportado pelo titular dos dados, não gera direito indenizatório. Dentre os Tribunais Estaduais que já analisaram pedidos de ressarcimento por danos morais vinculados ao vazamento de dados, maior parte está alinhado com esse entendimento do STJ.

Ainda sobre vazamento de dados constata-se que os julgadores estão atentos e valorizando todas as práticas dos controladores de dados para tentar garantir sua segurança, o que está alinhado com alguns preceitos trazidos pela própria LGPD no sentido de atenuar sanções quando há demonstração de que foram adotadas as medidas possíveis para atender os requisitos de segurança.

Outra situação que gerou indenização por danos morais na esfera cível: o Autor da ação recebeu ligações de telemarketing após encerramento da relação contratual entre as Partes. Essa conduta foi caracterizada como ilícita e abusiva porque a empresa Ré descumpriu o pedido de retirada dos dados pessoais do seu cadastro.

Redes sociais têm sido responsabilizadas (danos morais) por acesso de terceiros a perfil, especialmente pela dificuldade de o dono desse perfil reaver sua conta e pela falta de segurança que deveria ter sido ofertada pelo provedor da rede.

Aplicativos de mensagem também são alvo de responsabilização (danos materiais) em situações nas quais o usuário foi vítima de estelionato praticado nesse ambiente e que o fraudador utilizou dados pessoais da filha da vítima (foto e filiação) para obter vantagem financeira.

A Justiça do Trabalho (JT) também tem enfrentado o tema LGPD com frequência. Dentre as decisões que foram localizadas e analisadas 35 % decorrem de ações ajuizadas na JT e os litígios/decisões foram os seguintes:

❯  Manutenção de demissão por justa causa ao empregado que (ii) transferiu dados sensíveis de paciente do hospital empregador para constituir prova em ação trabalhista; (ii) copiou dados pessoais e bancários de clientes e repassou para si e para terceiros; (iii) utilizava dados pessoais de clientes para vender remédios com desconto para outros clientes; (iv) repassou dados sigilosos da empresa ao seu e-mail pessoal.

❯  Determinação de entrega de todos os documentos relativos à relação empregatícia ao ex-empregado, por se tratar de dados pessoais que lhe pertencem.

❯  Indeferimento de pedido feito pelo Sindicato quanto ao apontamento de empregados diagnosticados com Covid, por se tratar de dado sensível, que depende de consentimento do titular.

❯  Pedidos de indenização por danos morais reconhecidos pelas seguintes razões: (i) manutenção de publicidade de telefone de ex-empregado, que continuou recebendo ligações de clientes após término do vínculo trabalhista; (ii) vazamento de dados de atestado médico de empregado via aplicativo de mensagem; (iii) uso indevido de dados dos empregados por empresa que determinou que estes inserissem CPF próprio quando o cliente se negava a prestar tal informação.

❯  Decisões no sentido de determinar que a empresa de telefone forneça dados quando esse pedido decorre de ordem judicial, não podendo essa empresa negar o envio desses dados com fundamento na LGPD, porque o Judiciário não está vinculado a essa lei.

A respeito da cláusula normativa que obriga o empregador a entregar ao Sindicato dados dos seus empregados, não há consenso perante os Tribunais Regionais do Trabalho, havendo decisões no sentido de autorizar o compartilhamento de dados pautado nessa previsão contratual e outras condicionando essa prática ao consentimento do titular dos dados (empregado), não sendo suficiente nesse caso o ajuste entre a empresa e o Sindicato.

Esse é o panorama geral diagnosticado até o presente momento quanto aos temas que geraram discussões judiciais sobre LGPD e como esses litígios foram decididos pelo Poder Judiciário Brasileiro. Cabe destacar que: (i) não foram localizadas decisões judiciais que versam sobre o questionamento de aplicação de sanções administrativas pela ANPD, talvez porque a punição por esse órgão, apesar da firme fiscalização, é recente, razão pela qual as reclamações não tenham ainda sido levadas ao judiciário ou, se foram, ainda não foram julgadas; (ii) muitas decisões analisadas ainda não são definitivas e podem ser reformadas nas instâncias superiores; e (iii) o volume de casos identificados ainda não é significativo (93 no total), se considerada a dimensão do Brasil e a quantidade de ações que são anualmente ajuizadas³.

 

___

O posicionamento do judiciário quanto às normas da LGPD merece um monitoramento constante porque ainda há uma série de possíveis discussões pautadas nessa legislação que não foram apreciadas e, com relação aos pontos já apreciados, ainda são em número inexpressivos e certamente ainda haverá decisões divergentes e inéditas.

¹ A Lei Geral de Proteção de Dados brasileira – Lei 13.709 – foi publicada em agosto de 2018, sendo que mas sua vigência ocorreu de forma escalonada: (i) Dezembro/2018 para os artigos que tratam sobre a criação e atuação da Autoridade Nacional de Proteção de Dados (ANPD) e o Conselho Nacional de Proteção de Dados Pessoais e da Privacidade; (ii) Maio/2021 para os artigos gerais (disposições preliminares, tratamento dos dados pessoais, direitos do titular, responsabilidade, entre outros); e (iii) Agosto/2021 para os artigos que tratam sobre as sanções administrativas.

² https://processo.stj.jus.br/processo/pesquisa/?aplicacao=processos.ea&tipoPesquisa=tipo
PesquisaGenerica&termo=AREsp%202130619

³ “Total de casos novos em 12 meses: 27,7 milhões – crescimento de 10,4% em relação a 2020. Considerando apenas as ações ajuizadas pela primeira vez em 2021, o total é de 19,1 milhões.” Sumário Executivo Justiça em Números 2022 / Publicado pelo CNJ – Conselho Nacional de Justiça: https://www.cnj.jus.br/wp-content/uploads/2022/09/sumario-executivo-jn-v3-2022-2022-09-15.pdf

ANPD aplica primeira sanção em processo administrativo

A ANPD publicou hoje, 06 de julho de 2023, a primeira sanção aplicada pelo órgão em processo administrativo. A autoridade condenou uma empresa de Telemarketing, nos autos do processo nº 00261.000489/2022-62, por infrações ao artigo 41 da Lei 13.709/2018 (LGPD), pois a empresa deixou de indicar Encarregado pelo Tratamento de Dados Pessoais; ao artigo 7º, uma vez que a empresa tratou dados pessoais sem adequação necessária às hipóteses legais que permitem o tratamento de dados pessoais e que estão previstas no artigo; e, por fim, ao artigo 5º, tendo em vista que a empresa tratou dados pessoais sem observar os princípios e conceitos previstos na Lei.

A sanção imposta pela infração ao artigo 41 corresponde à advertência sem imposição de medidas corretivas. Pelas infrações aos artigos 7º e 5º, a empresa foi multada nos valores de R$ 7.200,00 (sete mil e duzentos reais), por infração, o que totalizou a quantia de R$ 14.400 (catorze mil e quatrocentos reais). A ANPD ainda determinou a redução de 25% (vinte e cinco por cento) do total do valor das multas aplicadas, caso a empresa renuncie expressamente ao direito de recorrer da decisão, nos termos do artigo 18 do Regulamento de Fiscalização, e recolha o valor total de R$ 10.800 (dez mil e oitocentos reais), no prazo máximo de 20 (vinte) dias úteis da ciência da decisão, conforme artigo 17 da Regulamentação de Fiscalização.

Se a empresa desejar recorrer, poderá protocolar recurso em um prazo de 10 (dez) dias úteis, a contar da ciência da decisão. Caso a decisão transite em julgado e não seja cumprida, as multas poderão ser executadas pela Procuradoria Federal Especializada da ANPD e a empresa inscrita no CADIN e na Dívida Ativa da União.

 

Clique aqui para outros temas recentes.

Dados pessoais de falecidos: privacidade diante da inaplicabilidade da LGPD

Por meio da Nota Técnica nº 3/2023/CGF/ANPD¹, a Autoridade Nacional de Proteção de Dados, ente responsável por zelar, implementar e fiscalizar o cumprimento da Lei 13.709/2018 (Lei Geral de Proteção de Dados), manifestou-se, pela primeira vez, sobre um tema que restou omisso na LGPD: o tratamento de dados pessoais de pessoas falecidas.

Nessa oportunidade, a ANPD posicionou-se no sentido de afastar a incidência das normas de proteção de dados pessoais do tratamento conferido a dados de pessoas já falecidas. Essa posição baseou-se no fato de não se enquadrarem, na visão da Autoridade, as pessoas falecidas, na definição de titular de dados trazida pelo artigo 5°, V, da LGPD, que o define como: “a pessoa natural a quem se referem os dados pessoais que são objetos de tratamento”.

A principal justificativa para este afastamento encontra respaldo na definição de pessoa natural prevista no Código Civil Brasileiro (Lei 10.406/2022), em seu artigo 6°, que estabelece que a existência da pessoa natural extingue-se com a morte.

A partir disto, nota-se que muito embora não haja qualquer dispositivo na LGPD dedicado a este tema, o posicionamento da ANPD acompanha o que prevê o regulamento europeu de proteção de dados pessoais, General Data Protection Regulation (GDPR), tido como uma das principais normas sobre a proteção de dados pessoais. Isto pois, ao contrário da LGPD, o diploma europeu, em seu o Considerando 27, é categórico ao estabelecer que o regulamento não é aplicável aos dados pessoais de pessoas falecidas, prevendo, inclusive, que compete a cada estado-membro a criação, se assim desejar, de normas específicas sobre este tratamento.

Neste cenário, considerando a inaplicabilidade da LGPD sobre os dados desta categoria, cumpre analisar de que maneira outras normas do ordenamento jurídico brasileiro acomodam o tratamento destas informações. Para isso, é importante entender o que o macrossistema entende sobre os direitos da personalidade.

Ora, a partir do que se extrai do Código Civil e da Constituição, os direitos da personalidade são, dentre vários outros, aqueles que dizem respeito à privacidade, à intimidade, à honra, à imagem, ao nome e são dotados de um grau de proteção mais elevado, sendo caracterizados como intransmissíveis, irrenunciáveis, indisponíveis e oponíveis.

A importância deles é tanta que, mesmo após o falecimento do sujeito de direitos, a tutela jurídica dos direitos de personalidade da pessoa falecida é mantida, sendo garantido a terceiros a legitimidade para requerer a cessão da ameaça ou lesão aos diretos afetados, nos termos do artigo 12, parágrafo único, do Código Civil.

Em observância a esta previsão, a jurisprudência nacional já demonstrou posicionamentos favoráveis, nos quais os direitos da personalidade de pessoas falecidas foram protegidos pelos legitimados, como é o caso do emblemático julgamento do Recurso de Apelação de n° 70075449405 ², pela 10ª Câmara Cível do TJ-RS (Tribunal de Justiça do Rio Grande do Sul), que entendeu como configurado o dano moral à honra e à imagem da falecida diante da sua inscrição indevida em órgãos de proteção ao crédito após o seu falecimento. Neste caso, o autor da ação foi o marido, viúvo, com legitimidade reconhecida.

Observa-se, portanto, que a garantia de direitos post mortem, não só é reconhecida, como também é prevista e reafirmada dentro do próprio ordenamento. Surge, assim, um aparente antagonismo entre o que reconhece o macrossistema jurídico e como se posiciona a ANDP. Isto pois, a proteção de dados pessoais integra o rol de direitos da personalidade, por dizer respeito à privacidade dos titulares, mas, se interpretada de forma avulsa, a partir do entendimento da autoridade, afasta a proteção dos titulares falecidos.

Esta preocupação é agravada quando encontramos situações em que a jurisprudência se posiciona de forma contrária ao protecionismo, como no caso do julgamento do Habeas Corpus n° 86.076/MT, em que STJ se manifestou contrariamente a respeito da privacidade de pessoa falecida, entendendo não ser ilícita a prova obtida do seu celular mesmo sem autorização judicial por, nesta situação, inexistir a privacidade a ser tutelada (STJ, RHC nº 86.076/MT, 6ª T., relator ministro Sebastião Reis Júnior, j. 19.10.2017, DJe 12.12.2017, Informativo nº 617).

Considerando, então, o entendimento de que a pessoa falecida não é titular de dados pessoais e tampouco possui direito de privacidade, será possível considerar que os direitos de personalidade são garantidos de forma limitada quando se tratar de proteção dos dados pessoais e privacidade de falecidos?

Além disso, no que diz respeito à própria aplicação da LGPD, surgem algumas incertezas a partir da Nota Técnica n° 3. Um exemplo a ser refletido: como fica o tratamento dos dados pessoais que são mantidos com base no consentimento? Diante da ausência de previsão na LGPD e considerando o posicionamento da ANPD, é possível afirmar que, a partir da morte do titular, o agente de tratamento fica autorizado a manter o tratamento dos dados do falecido sem a prévia oitiva ou manifestação de seus herdeiros/familiares? Nestas hipóteses, será garantido o direito de representação aos legitimados em razão da utilização de dados pessoais após o falecimento de quem consentiu?

Se mesmo com a existência de previsão expressa na lei ficam em aberto vários questionamentos que dependem de manifestação e até mesmo regulamentação por parte da ANPD, constata-se que para temas que acabaram sendo deixados de fora da norma, igualmente pairam incertezas quanto à conduta adequada a ser seguida.

Ao deixar de dispor expressamente sobre a aplicabilidade ou não da LGPD ao tratamento de dados pessoais de pessoas falecidas, o legislador deixou margem de dúvida a quem lê e interpreta a Lei, cabendo agora à ANPD suprir tal omissão e assegurar que essa lacuna não venha a ensejar interpretações distintas ou antagônicas pelo Poder Judiciário, e, consequentemente, uma insegurança jurídica no que toca à matéria.

Tratando-se de um ponto ainda pouco questionado, mas com grandes chances de tornar-se cada vez mais recorrente em razão da alta disponibilidade de dados pessoais em meios físicos e digitais, é indispensável que todos os titulares de dados ou legitimados estejam atentos a esta temática. A violação ou exposição indevida de dados de pessoas falecidas representa uma possível ofensa aos direitos da personalidade que poderá ser levada à tutela jurisdicional, quando cabível.

Devem, em vista disso, os agentes de tratamento buscar, de forma preventiva, a assessoria adequada para assegurar a devida conformidade com a LGPD, reduzindo, assim, significativamente os riscos de eventual questionamento sobre o tratamento de dados realizado.

 

________________________________________________________________

¹ Disponível em: <https://www.gov.br/anpd/pt-br/documentos-e-publicacoes/nota-tecnica-no-3-2023-cgf-anpd.pdf> Acesso em: 13/06/2023.

² Apelação Cível, Nº 70075449405, Décima Câmara Cível, Tribunal de Justiça do RS, relator: Jorge Alberto Schreiner Pestana, Julgado em: 01-03-2018. Disponível em < https://www.tjrs.jus.br/buscas/jurisprudencia/exibe_html.php> Acesso em: 19 jun. 2023.

 

*Artigo publicado originalmente no Conjur.

 

ANPD divulga lista de processos de fiscalização em andamento

A ANPD divulgou, no mês de maio, uma lista contendo 16 processos e 27 instituições que estão sendo investigadas em relação à sua conformidade com a Lei Geral de Proteção de Dados Pessoais (LGPD). O objetivo dessa divulgação, segundo o Coordenador-Geral de Fiscalização, Fabrício Lopes, é cumprir o compromisso assumido pela ANPD de dar transparência às atividades da autoridade e comunicar que a fiscalização já está em andamento desde a criação da ANPD, mesmo antes da publicação dos regulamentos de fiscalização e dosimetria, que ocorreu no início deste ano.

O processo de fiscalização tem como propósito verificar e analisar o cumprimento das obrigações estabelecidas pela LGPD a agentes regulados. Por meio dele, a ANPD trabalha para fortalecer o cumprimento da lei e proteger o direito fundamental à proteção de dados pessoais, garantido pela Constituição Federal.

Durante o processo de fiscalização, a ANPD pode propor medidas preventivas aos agentes regulados, com o intuito de garantir sua conformidade com as disposições legais. Além disso, a autoridade tem a capacidade de realizar auditorias e solicitar informações detalhadas sobre o tratamento de dados pessoais, com foco na conformidade e no respeito à proteção de dados pessoais.

Por outro lado, o processo administrativo sancionador é utilizado para aplicar as penalidades determinadas pela LGPD, geralmente quando existem indícios probatórios de infração.

A condução dos processos sancionadores é responsabilidade da Coordenação-Geral de Fiscalização da ANPD, com o objetivo de investigar infrações e aplicar sanções quando ocorrerem tratamentos de dados em desacordo com a legislação. Esses processos são conduzidos por meio de um procedimento administrativo que garante o contraditório, a ampla defesa e o direito de recurso.

No caso de descumprimento da LGPD, a ANPD tem a autoridade para impor diferentes sanções administrativas, que variam desde advertências, com prazos para a adoção de medidas corretivas, até multas, cujo valor máximo pode chegar a R$ 50.000.000,00 (cinquenta milhões de reais) por infração.

 

Clique aqui para outros temas recentes.

 

Reconhecimento de crédito de PIS e Cofins sobre despesas com LGPD

A Autoridade Nacional de Proteção de Dados (ANPD) divulgou recentemente seu regulamento de sanções administrativas, que podem chegar a 2% do faturamento ou R$ 50 milhões em casos graves. Com cerca de sete mil denúncias e oito processos em andamento, as empresas que ainda não se adequaram à Lei Geral de Proteção de Dados (LGPD) estão sentindo a pressão para reforçar seus investimentos.

Para estar em conformidade com a LGPD, as empresas devem adotar medidas como a elaboração de Programas de Segurança da Informação (PSI), conscientização e treinamento, adequação de contratos e cláusulas de proteção de dados, além de medidas técnicas, como controle de acesso, gerenciamento de senhas, autenticação multi-fatores e tecnologia de criptografia.

Nesse contexto, surge uma questão tributária relevante: a possibilidade de calcular créditos de PIS e COFINS sobre os gastos com a adequação à LGPD. O PIS e a COFINS são tributos incidentes sobre o faturamento das empresas. No regime não cumulativo dessas contribuições, empresas no Lucro Real podem converter diversos tipos de despesas em créditos para abater o valor de PIS e COFINS devidos.

Desde o início de vigência da LGPD, vários contribuintes têm ingressado com ações judiciais para ver reconhecido o seu direito de calcular créditos de PIS e de COFINS sobre gastos para adequação à LGPD. Uma ação deste tipo visa recuperar o percentual de 9,25% sobre os gastos suportados desde a edição da LGPD (14/08/2018), bem como o reconhecimento do direito para os gastos que ainda serão suportados no futuro.

No último mês, uma empresa de tecnologia e meios de pagamento obteve a primeira decisão favorável em segunda instância. Esta decisão foi proferida pelo Tribunal Regional Federal da 2ª Região (Rio de Janeiro e Espírito Santo).

A decisão levou em conta a conexão dos gastos com LGPD e a atividade desenvolvida pela empresa no caso. Segundo ponderou a Desembargadora Carmen Silva Lima de Arruda, uma vez que o Contribuinte se dedica à prestação de pagamentos digitais, as despesas de implementação da LGPD estão diretamente relacionadas com a atividade-fim da empresa.

Esta foi uma decisão importantíssima para formação de jurisprudência sobre o tema, que deve acabar chegando ao STJ.

Há, também, precedente contrário, proferido pelo TRF da 3ª Região (São Paulo e Mato Grosso do Sul) em um caso envolvendo um grande fabricante de roupas. Porém, esta decisão demonstra uma preocupação com conferir um “cheque em branco” para que os contribuintes possam rotular como gasto com implementação da LGPD aquilo que não possui esta natureza. Em outras palavras, no caso, o Contribuinte não demonstrou de uma forma mais específica quais gastos foram suportados com a implementação da LGPD e como estes gastos guardam relação com a sua atividade produtiva. Portanto, aparentemente, se o Contribuinte tivesse feito esta demonstração de uma forma mais específica, poderia ter tido sucesso em seu pedido. Por outro lado, a recente decisão do TRF2 faz esta análise de correlação entre os gastos com LGPD e a atividade exercida pelo Contribuinte, o que pode indicar um caminho para êxito na disputa.

Não há dúvidas de que há um interesse público em incentivar a adequação à lei, preservando, assim, a segurança dos dados dos brasileiros. Lembrando que há, no Senado, projeto de lei (04/2022) que prevê expressamente que os gastos com a adequação à LGPD devem fazer jus a créditos, incluindo “as atividades essenciais e relevantes de assessoria e consultoria técnica, de segurança da informação e jurídica para alcance dos fins a que se destina”.

Como a LGPD foi editada em 2018, é altamente recomendável que as empresas avaliem ingressar com medidas administrativas ou judiciais para preservar seu direito, pois o prazo prescricional para recuperação destes créditos é de cinco anos, de modo que uma parcela destes créditos passará a prescrever mensalmente.

 

*Artigo publicado originalmente no Estadão.

Novo enunciado sobre o tratamento de dados de crianças e adolescentes

Como resultado da participação na Tomada de Subsídios aberta ao público no período de 08 de setembro a 07 de outubro de 2022, a Autoridade Nacional de Proteção de Dados (ANPD) publicou o seu primeiro Enunciado, dedicado a uniformizar a interpretação da Lei Geral de Proteção de Dados (LGPD) em relação ao tratamento de dados de crianças e adolescentes.  

A partir do que determina o Enunciado n°1, o tratamento de dados pessoais de crianças e adolescentes pode ser realizado com base nas hipóteses legais previstas na LGPD, tanto no artigo 7°, que versa sobre as bases legais aplicáveis aos dados pessoais comuns, como no artigo 11, que regulamenta as hipóteses de tratamento de dados pessoais sensíveis. De toda forma, mantem-se a necessidade de atender a disposição do artigo 14 da legislação, que impõe a necessidade de observar o melhor interesse dos titulares no caso concreto. 

Este entendimento gera um impacto positivo aos agentes de tratamento, uma vez que a redação do artigo 14 da LGPD, dedicado exclusivamente ao tema dos dados de crianças e adolescentes, se interpretado de modo isolado, gerava o entendimento de que o tratamento estaria restrito à hipótese legal do consentimento, devendo este ser manifestado de forma expressa pelos pais ou responsáveis legais. 

A partir da publicação do Enunciado nº1, o Órgão Regulador possibilitou que a coleta e o tratamento dos dados dessa espécie sejam realizados com menos complexidade, prevendo a possibilidade da utilização de base legais distintas do consentimento, como por exemplo nos casos de cumprimento de obrigação legal ou atendimento do interesse legítimo do controlador, afastando o entendimento anteriormente extraído apenas da leitura do artigo 14 da lei, causado pela ausência de parecer da ANPD sobre o tema.  

No entanto, ainda será necessário um maior cuidado por parte do controlador ao tratar dados de crianças e adolescentes, que deve se atentar à necessidade e proporcionalidade do tratamento e aos interesses desses titulares. A mera ampliação do rol de hipóteses aceitas, não legitima o tratamento indiscriminado destas informações. 

Para além disso, o enunciado impacta diretamente nos programas de proteção de dados em andamento e já implementados, que deverão adequar seu conteúdo ao novo olhar trazido pela ANPD sobre o tratamento de dados de crianças e adolescentes, garantindo às empresas a possibilidade de maior facilidade na operacionalização da proteção de dados destes menores. 

Clique aqui para outros temas recentes.

Sanções administrativas da ANPD: o que as empresas precisam saber

Inicialmente serão adotados pelo órgão métodos de monitoramento extensivo e superficial para identificar potenciais infratores

Desde a publicação do Regulamento de Dosimetria e Aplicação de Sanções Administrativas¹, já foram instaurados pela Autoridade Nacional de Proteção de Dados (ANPD) oito processos administrativos sancionatórios, sendo sete deles em face de agentes ligados à Administração Pública e um ao setor privado.

A divulgação destes processos demonstra que a ANPD está cumprindo com a obrigação de fiscalização, e acaba por gerar o questionamento e um inquietamento das empresas acerca do que esperar da autoridade.

Os representantes do órgão já se manifestaram em eventos públicos sobre sua atuação, esclarecendo que será responsiva e proporcional ao comportamento dos agentes regulados, levando em consideração as peculiaridades do caso concreto.

É inegável que, desde sua elaboração, a LGPD pautou-se na regulação responsiva, uma espécie de alternativa ao modelo tradicional de fiscalização que possui viés predominantemente punitivista, demonstrando em suas disposições a preferência por uma atuação preventiva, educativa e direcionada ao alcance da conformidade regulatória.

Baseada na teoria responsiva da regulação criada por Ian Ayres e John Braithwaite², a regulação responsiva pode ser representada por uma pirâmide de enforcement ou de constrangimento. Trazendo esta teoria para atuação da ANPD, notar-se-á que ela possui em sua base a autorregulação (agentes que exercem espontaneamente a adequação com a legislação), em seguida, no meio pirâmide, a autorregulação compulsória (agentes que se adequam em razão da atuação discreta do regulador) e, no topo, agentes que demandam atuação pesada, resultando em aplicação de sanções expressivas.

Essa representação de pirâmide de constrangimento enaltece a conscientização e adequação espontânea dos agentes regulados, restringindo a atuação sancionatória do órgão regulador para casos pontuais de desrespeito e descaso à legislação e a sua atuação.

Nesse sentido, inicialmente serão adotados pela ANPD métodos de monitoramento extensivo e superficial, para identificação de potenciais infratores. Quando identificadas situações de desconformidade, sua atuação para combatê-las terá cunho orientativo, visando à adequação do infrator aos termos da LGPD, com indicação de medidas a serem adotadas, ou seja, reflexo do infrator posicionado no meio da pirâmide de constrangimento. Caso não respeitadas, com nítido descaso por parte do agente regulado, dar-se-á início ao processo repressivo, mediante instauração de processo administrativo sancionatório, com consequente elevação do infrator ao topo da pirâmide de constrangimento.

Todo esse processo pretende e tende resultar que os agentes expectadores da atuação da ANPD desejem estar posicionados na base da pirâmide, logo, invistam na adequação à LGPD, para justamente não receberem tratamento ostensivo direcionado aos agentes que estiverem no topo, como os alvos dos processos tornados públicos recentemente.

Apesar dos processos ainda estarem em fase de instrução, as entidades envolvidas já foram afetadas, indiscutivelmente, em virtude da publicidade promovida pela ANPD, impactando negativa e diretamente na imagem e reputação dos entes, além de alastrar um sentimento de insegurança para os titulares de dados que, de certa forma, com elas se relacionam.

Impacto acentuado no caso de empresas privadas, para as quais a publicização pode causar prejuízos irreparáveis à reputação, até mesmo consequências econômicas mais graves do que uma sanção pecuniária, considerando a comprovada e crescente preocupação dos cidadãos com o uso indevido de seus dados pessoais, além da conformidade com a LGPD ser, atualmente, uma usual condição para que sejam firmadas novas parcerias e negócios.

À vista disso, respondendo aos anseios dos empresários face ao início da atuação sancionatória da ANPD, a melhor maneira de afastar o risco de se tornar alvo da autoridade é buscar estar posicionado sempre na base da pirâmide de constrangimento.

O primeiro passo para trilhar esse caminho é a implementação de um programa de governança em proteção de dados , que deverá ser seguido de um trabalho contínuo de atualização e monitoramento, sempre amparado por profissionais especializados, inteirados e alinhados com o posicionamento da ANPD, especialmente nessa nova fase e forma de atuação do órgão.

O motivo desse ser o principal caminho a ser seguido, pauta-se no que a ANPD irá avaliar no momento de uma fiscalização, que se estende muito além da existência de uma infração, mas se de fato a empresa possui mecanismos efetivos de proteção de dados, além do interesse do agente em resolver o problema e o tempo despendido para se adequar.

A partir da implementação dos mecanismos basilares de um programa de governança em proteção de dados, o risco de sofrer a aplicação de uma sanção pela ANPD é exponencialmente reduzido, principalmente porque não necessariamente uma infração à LGPD resultará na aplicação de uma penalidade. Com a comprovação de que a empresa ou entidade possuía internamente uma cultura de proteção de dados e procedimentos capazes de minimizar a ocorrência ou a extensão dos danos, a condenação pode ser afastada ou, ao menos, a multa pode ser atenuada, em até 75%.

De forma prática, o investimento das empresas em um adequado programa de governança em proteção de dados traz, indiscutivelmente, reflexos positivos, de modo que a proatividade e o desejo espontâneo de buscar a conformidade com a LGPD coloca estas empresas na base da pirâmide de conformidade, que é o melhor cenário de relacionamento com a ANPD.

Ainda, o pior cenário que essas empresas podem enfrentar é a ocupação do meio da pirâmide, cabendo a elas corrigir eventuais comportamentos e/ou procedimentos. Por fim, o desfecho positivo é que elas nunca alcançarão o topo da pirâmide, no que diz respeito à atuação regulatória responsiva da ANPD, e consequentemente se esquivam da possibilidade de aplicação de sanções expressivas por meio de processos administrativos sancionatórios.

___

¹ Disponível em: https://www.gov.br/anpd/pt-br/assuntos/noticias/anpd-publica-regulamento-de-dosimetria/Resolucaon4CDANPD24.02.2023.pdf

² AYRES, Ian; BRAITHWAITE, John, Responsive regulation: Transcending the deregulation debate, New York: Oxford University Press, 1992.

 

* Artigo publicado originalmente no Jota.

Posicionamento da ANPD após a publicação do regulamento de aplicação e dosimetria das sanções administrativas

Com o advento do Regulamento de Dosimetria e Aplicação de Sanções Administrativas, publicado em 27 de fevereiro de 2023, por meio da Resolução CD/ANPD Nº 4¹, que definiu o procedimento fiscalizatório e de aplicação de penalidades pela Agência Nacional de Proteção de Dados – ANPD, o principal questionamento das empresas gira em torno do que esperar do Órgão regulador, que agora se considera totalmente apto a exercer sua atuação sancionatória no âmbito administrativo.

Até o momento, já foram instaurados pela ANPD 08 (oito) processos administrativos sancionatórios, todos ainda em fase de instrução, em face de agentes que descumpriram a Lei Geral de Proteção de Dados – LGPD, sendo 07 (sete) delas ligadas à Administração Pública e 01 (uma) do setor privado.

Apesar de ainda não existir condenação, é inegável que as entidades envolvidas já foram afetadas em razão da publicidade promovida pela ANPD ao divulgar não apenas seus nomes, mas também as condutas cometidas. A difusão conferida pela ANPD, sem sombra de dúvida, impacta negativa e diretamente na imagem e reputação dos entes, além de transmitir um sentimento de insegurança para todos os titulares de dados que, de alguma forma, com elas se relacionam.

O impacto é mais severo no caso de empresas privadas, para as quais a publicização pode causar prejuízos irreparáveis à reputação, inclusive consequências econômicas até mais graves do que uma penalidade pecuniária, em decorrência da comprovada e crescente preocupação dos cidadãos com o uso indevido de seus dados pessoais e também do fato de a conformidade com a LGPD ser, atualmente, uma usual condição para que sejam firmadas novas parcerias e negócios.

A alta administração da ANPD já se manifestou sobre a sua forma inicial de atuação, que será responsiva e proporcional ao comportamento dos agentes regulados, de modo que todas as suas ações serão alinhadas às peculiaridades do caso concreto e individualidade do infrator.

Inicialmente, serão adotados pelo Órgão, métodos de monitoramento extensivo e superficial, especialmente focados no nível de exposição de dados pessoais, para identificação de potenciais infratores. Uma vez identificadas as situações de desconformidade, a atuação da ANPD terá cunho orientativo/educacional, visando à adequação do infrator aos termos da LGPD, inclusive com indicação das medidas que precisam ser adotadas ou corrigidas. Por fim, caso não respeitadas as orientações emanadas da ANPD, com nítido descaso por parte dos agentes regulados, dar-se-á início ao processo repressivo, mediante instauração de processo administrativo sancionatório.

Cumprindo a promessa de transparência ativa, que não se confunde com a penalidade de publicização das sanções, ao divulgar a lista dos 8 (oito) processos instaurados, a ANPD justificou ter se pautado nas seguintes motivações até o momento:

i. Ausência de nomeação de encarregado de dados pessoais;

ii. Não envio de relatório de impacto de proteção de dados;

iii. Ausência de medidas de segurança;

iv. Ausência de comunicação de incidente de segurança a ANPD e titulares;

v. Ausência de comprovação de hipótese legal;

vi. Ausência de registro de operações; e

vii. Não atendimento à requisição da ANPD.

Vale destacar que, previamente à instauração dos processos, grande parte das entidades já haviam sido notificadas pela ANPD para corrigirem as infrações identificadas.  Ademais, observa-se que a ANPD não exigiu nada além dos requisitos dispostos na própria LGPD, inclusive aspectos básicos de um programa de governança em proteção de dados, até mesmo porque, conforme indicado, a ANPD não irá inovar em suas cobranças e se pautará apenas em assegurar que aquilo que está previsto na legislação seja observado.

Dessa forma, respondendo aos anseios dos empresários face ao início da atuação sancionatória da ANPD, é importante destacar que o caminho a ser percorrido para afastar o risco de se tornar alvo de processo administrativo sancionatório da ANPD, consiste basicamente em se manter bem-informado e assessorado para buscar a conformidade com a lei no que diz respeito à proteção de dados pessoais

O primeiro passo recomendável é a implementação de um programa de governança em proteção de dados, que deverá ser seguido de um trabalho contínuo de atualização/revisão e monitoramento, sempre amparado no auxílio de profissionais especializados, inteirados e alinhados com o posicionamento da ANPD, especialmente nessa nova fase e forma de atuação do Órgão.

Portanto, concretamente, a ANPD irá avaliar no momento de uma fiscalização, para além da existência de uma infração, se a empresa possui mecanismos efetivos de proteção de dados, como o mapeamento dos dados pessoais que trata, nomeação de um encarregado de dados pessoais, planos de ação e mitigação de riscos, relatório de impacto, medidas de segurança cibernética e treinamentos periódicos, todos desenvolvidos para sustentar um programa de governança em proteção de dados.

A partir da adoção desses mecanismos, o risco de aplicação de uma sanção pela ANPD é exponencialmente reduzido, na medida em que uma infração à LGPD não resulta necessariamente na aplicação de uma penalidade. Na hipótese de ser possível comprovar que a empresa ou entidade possuía uma cultura de proteção de dados e procedimentos internos capazes de minimizar a ocorrência ou a extensão dos danos, a condenação pode ser afastada ou, ao menos, a penalidade pode ser atenuada, com redução em até 75%, em caso de multas pecuniárias.

Verifica-se, portanto, que o investimento em um adequado programa de governança em proteção de dados apenas traz reflexos positivos às empresas que se dedicam a buscar a verdadeira conformidade com a lei.

____

¹ Disponível em: https://www.gov.br/anpd/pt-br/assuntos/noticias/anpd-publica-regulamento-de-dosimetria/Resolucaon4CDANPD24.02.2023.pdf – Acesso em 17/04/2023

Despesas com adequação à LGPD: insumos e créditos de PIS/Cofins

A discussão acerca do direito de tomada de crédito do PIS e da COFINS no regime não cumulativo não tem fim. São diversos os questionamentos que gravitam em torno do tema, mormente porque definiu o STF¹ que cabe ao legislador ordinário o disciplinamento da matéria, já que, diferentemente da não cumulatividade do ICMS e IPI, aqui se trata de técnica de apuração.

Em verdade, a maior problemática gira em torno do conceito de insumos, na medida em que as leis disciplinadoras das contribuições – Leis 10.637/02 e 10.833/03 – não conceituaram o termo.

O STJ se debruçou sobre a questão, quando do julgamento do Tema 779. Segundo a Corte, o “conceito de insumo deve ser aferido à luz dos critérios de essencialidade ou relevância, ou seja, considerando-se a imprescindibilidade ou a importância de determinado item – bem ou serviço – para o desenvolvimento da atividade econômica desempenhada pelo contribuinte”.

Instado a se manifestar, o STF reiterou o entendimento do STJ de que os insumos não se limitam ao processo produtivo. Segundo o Min. Dias Toffoli:

“[…] para a formação de receita ou de faturamento, o contribuinte poderá incorrer não só em gastos relacionados com aquele processo formativo de produtos, mas também em outros quanto a bens ou serviços imprescindíveis ou importantes para o exercício de sua atividade econômica”. (grifei)²

Vê-se, pois, que o STF assentou que os gastos que são passíveis de creditamento são aqueles “imprescindíveis ou importantes” para o exercício de atividade econômica como um todo e não somente os gastos do processo produtivo.

Inclusive, o próprio CARF acolhe essa tese, a exemplo do entendimento fixado pela Câmara Superior ao consignar que “os serviços de marketing, propaganda e publicidade podem subsumir-se ao conceito de insumo aptos a gerar créditos das contribuições parafiscais desde que seja demonstrada e provada a essencialidade, relevância e a sua insuprimibilidade para o desempenho da atividade”

De concluir que o conceito de insumo deve ser analisado para além da cadeia produtiva, ou seja, enquadra-se no conceito de insumo tudo que seja utilizado, empregado ou consumido, ainda que indiretamente, no desenvolvimento da atividade empresarial.⁴

Recentemente, diante do posicionamento do STF, do STJ e do CARF, a Receita Federal precisou rever seu entendimento. Apesar de replicar muitas disposições do Parecer Normativo Cosit nº 05/2018, a IN 2121/2022 possibilitou a tomada de crédito de bens e serviços exigidos por imposição legal e infralegal. Esse posicionamento ganha contornos importantíssimos, sobretudo na era da Big Data.

A proteção de dados na última década alcançou uma proporção inimaginável. A cultura da proteção de dados foi incentivada e o próprio Constituinte derivado a alçou à categoria de Direito Fundamental, por meio da EC nº 115/2022.

Essa alteração reflete a importância do tratamento de dados na atualidade, o que já vinha sendo referendado pelas Cortes Superiores. O STF⁵, ainda em 2020, já havia afirmado que a proteção de dados pessoais seria um direito fundamental implícito na Constituição.

Outrossim, a proteção de dados já tem guarida infraconstitucional. Inicialmente, com o Marco Civil da Internet (Lei 12.965/14), substituído, em 2018, pela Lei Geral de Proteção de Dados – LGPD (Lei 13.709/18), que regula o tratamento de dados pessoais, principalmente em meios digitais.

A LGPD obriga as empresas a adotarem um bom tratamento de dados e incentiva a criação da cultura da proteção de dados. A adequação à LGPD obrigou as empresas a alterarem suas rotinas e protocolos operacionais e administrativos, que, embora não sejam diretamente ligadas ao seu objeto social, são imposições legais e demonstram serem essenciais e relevantes à atividade empresarial.

Tal obrigação culminou em despesas necessárias, como medidas organizacionais e de segurança para o compliance. Ou seja, a lei obrigou as empresas a instituírem regramentos internos e a investirem dinheiro para o bom cumprimento das determinações legais.

Ademais, a LGPD gera impactos nos negócios, no momento de tratar dados dos clientes e funcionários, de fazer a portabilidade de dados e de cooperar internacionalmente, quando isso for exigido.

Por se tratar de imposição legal, os gastos de LGPD devem ser tidos como insumos e, nesse contexto, as empresas podem tomar crédito destes valores. A propósito, vale destacar um trecho do voto do Min. Mauro Cambell Marques, no julgamento do Tema 779/STJ:

“após ouvir atentamente ao voto da Min. Regina Helena, sensibilizei-me com a tese de que a essencialidade e a pertinência ao processo produtivo não abarcariam as situações em que há imposição legal para a aquisição dos insumos (v.g., aquisição de equipamentos de proteção individual – EPI). Nesse sentido, considero que deve aqui ser adicionado o critério da relevância para abarcar tais situações, isto porque se a empresa não adquirir determinados insumos, incidirá em infração à lei”.

Não bastasse a imposição legal, a adequação à LGPD por parte das empresas representa uma gigantesca vantagem competitiva, sobretudo diante do rigor internacional acerca da temática. O investimento em proteção de dados fortalece a confiança dos consumidores e parceiros comerciais e influi nas oportunidades de negócios e nas contratações públicas.

Apenas para reforçar a necessidade de considerar as despesas com adequação à LGPD como passíveis de creditamento, há no Senado Federal o projeto de lei 04/22 que modifica as Leis nº 10.637/02, 10.833/03 e 10.865/04, para possibilitar o desconto de créditos de PIS e da COFINS, na sistemática não cumulativa, sobre os investimentos contratados para adequação à LGPD, incluindo as “atividades essenciais e relevantes de assessoria e consultoria técnica, de segurança da informação e jurídica para alcance dos fins a que se destina”, bem como “atividades pedagógico-educacionais e culturais de difusão da LGPD”.

A aprovação da PL seria de grande valia, eis que proporcionaria uma maior segurança jurídica às empresas, bem como promoveria um importante incentivo para a estruturação de seus programas de governança em privacidade e proteção de dados.

Não obstante, acredita-se que o creditamento já é possível, uma vez que há imposição legal para que as empresas se adequem à LGPD, sob pena de aplicação de multa diária, o que enquadra essa despesa no conceito de insumo, pelo que indispensável ao exercício da atividade empresarial.

___

¹ Tema 756/STF – RE nº RE 841.979

² Voto do Min. Toffoli – Inteiro Teor do Acórdão – Página 18 de 89

³ Acórdão nº 3302-012.005, julgado em 26/10/2021

⁴ Medeiros e França. Tema 756/STF: permanece o conceito de insumo estabelecido pelo STJ. Disponível em: https://www.migalhas.com.br/depeso/378114/tema-756-stfpermanece-o-conceito-de-insumo-estabelecido-pelo-stj

⁵ ADI 6387, 6388, 6389 e 6390

⁶ Aditamento de Voto no RESP 1221170 / PR- Min. Mauro Campbell – p. 1

 

*Artigo publicado originalmente no Estadão.