Após mais de dois anos em vigor e diversas ações para garantir a aderência da regulamentação no país, foram definidos os parâmetros e critérios para aplicação de sanções da Lei Geral de Proteção de Dados Pessoais (LGPD).
Por meio da Resolução nº 4, a Autoridade Nacional de Proteção de Dados (ANPD) estabeleceu, em 24 de fevereiro, as regras para o cálculo das penas, no último estágio que faltava para iniciar a execução das sanções administrativas.
O estabelecimento de uma dosimetria tem como objetivo apontar critérios de proporcionalidade entre a infração e a medida adotada pelo órgão regulador, que incluem níveis de gravidade da infração (leve, média ou grave), definição de circunstâncias atenuantes e agravantes (situações que possam reduzir ou aumentar o grau punitivo da medida imposta ao infrator), além de fórmula matemática para aferição do valor de multas aplicadas. Ou seja, o maior efeito prático é viabilizar o início das penalidades pela ANPD.
Desde a vigência da lei, em setembro de 2020, há muitos casos tramitando nos processos administrativos da Autoridade – já foram mais de sete mil denúncias de violações relacionadas aos dados pessoais, sendo certo que a norma de dosimetria pode e deve ser aplicada a todos os casos atualmente em curso.
Por ser uma legislação extremamente detalhada, as instituições vêm se preparando de diversas formas para este momento, que pelo costume do nosso país, é quando de fato as leis começam a ser cumpridas: com o início da aplicação das punições pela Autoridade.
É um grande avanço para alcançar uma cultura de privacidade e proteção de dados no Brasil. Aqueles que já haviam implementado programas de segurança, devem revistar as normas e procedimentos, atentos às possíveis atualizações. Para os que não começaram, está mais do que na hora de investir em ações de conformidade com a LGPD.
Detalhes da Resolução nº 4
É importante destacar que a resolução é aplicável tanto para infrações antes de sua data de publicação, quanto para infrações futuras, o que significa que processos administrativos já em curso perante à ANPD terão como base as regras publicadas. De agora em diante é esperado que saiam as primeiras decisões relativas às sanções, inclusive com a publicização das infrações - conforme previsto no art. 52 da LGPD.
Outro ponto de atenção é que alguns conceitos não ficaram bem determinados, o que pode gerar uma tendência relativa de judicialização das decisões - como no caso das infrações graves. Havia uma expectativa de maior objetividade, mas a ANPD acabou não trazendo uma definição mais detalhada do que será considerado tratamento de larga escala, deixando uma definição subjetiva, como número significativo de usuários e volume de dados, sem parâmetros mais assertivos.
A norma fala em um 'número significativo de titulares prejudicados'. Mas não estipula uma porcentagem do total da base de titulares de dados, deixando a avaliação para o caso concreto, imputando ao agente de tratamento a responsabilidade sobre o juízo realizado.
A norma fala em um 'número significativo de titulares prejudicados'. Mas não estipula uma porcentagem do total da base de titulares de dados
Um aspecto positivo foi a previsão da oitiva de demais autoridades reguladoras setoriais no momento de instrução sempre que sanções envolvendo suspensão ou proibição parcial ou total das operações, o que diminuiu o risco de entendimentos divergentes, aumenta o alinhamento entre Autoridades e, em última instância, evita o prejuízo aos titulares dependentes de eventual serviço com caráter relevante.
Agências reguladoras, como Cade, Anatel, Aneel, serão ouvidas nos processos de empresas cujos setores são regulados, uma vez que o mesmo caso pode haver interpretações distintas. Mas a ANPD continua com a prioridade da condução e decisão, e vai escutar a entidade sobre os impactos de uma sanção do mercado.
Vale destacar também que a política de boas práticas geram atenuantes. Por exemplo, é possível ter o desconto da multa de até 20% caso fique demonstrado a aplicação de melhores práticas de governança.
Muitas empresas começaram a implementar seus programas de Privacidade e Proteção de Dados desde 2018, mas com o passar do tempo ocorre um certo arrefecimento ou até a interrupção ou não continuidade das ações. Por isso, é extremamente importante atualizar o Programa de LGPD e manter ativo o Comitê de Privacidade, papel que é normalmente desempenhado pelo Encarregado de Dados (DPO).
Um dos resultados esperados com a valorização das medidas de governança como atenuante é o de contribuir para que os DPOs conquistem espaço, prioridade na agenda executiva, orçamento, equipe, de modo que deem continuidade do programa de conformidade.
Além de ter que cumprir com a LGPD se torna um bom escudo frente uma fiscalização. Para isso, é preciso manter campanhas educativas, comitê de proteção de dados, reuniões periódicas e gerar atas. É um programa contínuo, não é um projeto.
Com as multas, a conformidade
A resolução era o item que faltava para a ANPD possuir todos os recursos para cumprir sua missão: fiscalizar e aplicar sanções, e garantir o cumprimento da LGPD. As penas variam desde advertência, multa simples ou pecuniária, publicização da infração, e até bloqueio da base de dados.
Do lado das empresas, como a LGPD é uma legislação que trata de transparência, é necessário informar quando e com qual finalidade os dados são tratados
A conceituação das infrações era um dos aspectos mais aguardados - leve, média ou grave. Conforme o art. 8º, os indicadores para gravidade alta envolvem:
- tipo do dado (sensível, criança ou adolescente ou idoso);
- volumetria: larga escala (pode ser número significativo de titulares, volume de dados, frequência, duração, alcance geográfico);
- vantagem econômica;
- risco à vida do titular;
- efeitos discriminatórios ilícitos ou abusivos;
- não ter base legal para tratar;
- adoção sistemática de práticas irregulares (aqui não se usou o termo reincidência, pois não precisa ser a mesma irregularidade, pode ser distinta).
- Vivemos mais uma importante etapa dentro de um conjunto de medidas que acompanham uma mudança de cultura social extremamente relevante no contexto de transformação digital. Essa é uma legislação muito detalhada, que desperta alerta com o uso dos nossos dados pessoais. É natural que diante de tantas iniciativas venha a preocupação: como garantir a proteção das informações em um cenário crescente de ciberataques e sequestro de dados?
Do lado do consumidor, a postura é de atenção e cuidado para evitar situações de riscos e verificar a procedência no momento do compartilhamento dos dados pessoais, como se a empresa possui canais de atendimento de direitos dos titulares, uma política de privacidade atualizada e publicada, e se nomeou o encarregado de dados (DPO).
Do lado das empresas, como a LGPD é uma legislação que trata de transparência, é necessário informar quando e com qual finalidade os dados são tratados. Faz parte dos direitos dos titulares e das obrigações das organizações, que agora tem um motivo a mais para ficarem em conformidade.
* Patricia Peck é sócia-fundadora do Peck Advogados.
Este artigo foi escrito em conjunto com:
Caroline Teófilo, sócia do Peck Advogados, e Henrique Rocha, sócio do Peck Advogados.