A nova legislação exige de todos tanto a tarefa de conhecimento e mapeamento dos dados tratados quanto a efetiva implementação de práticas, políticas e governança apropriadas de privacidade e proteção – o que inclui profundos trabalhos de treinamento e conscientização de equipes e colaboradores
Luís Rodolfo Cruz e Creuz[1]
“Acerte o seu aí que eu arredondo o meu aqui. Está valendo!“ – Silvio Luiz
A proteção de dados no Brasil ganhou novos contornos com a Lei Geral de Proteção de Dados, Lei nº 13.709, de 14 de agosto de 2018 (LGPD)[2], buscou alinhamento aos principais marcos regulatórios mundiais, representando um importante e ambicioso passo para adequação ao movimento internacional. Ambicioso porque, ao lado da regulação, empreendedores e empresários nacionais deverão adequar-se sem ressalvas ao novo modelo.
Após longo lapso temporal (quase três anos!), a LGPD passou a ter vigência completa e integral, culminando com o início da vigência das normas relativas às sanções e penalidades administrativas – aqui inclusos a competência e os poderes de fiscalização da Autoridade Nacional de Proteção de Dados (ANPD).
Juridicamente, diz-se que a LGPD teve, a partir de agosto de 2021, vigência e eficácia plena (na integralidade das suas disposições), o que inclui tanto a devida estruturação da ANPD quanto a possibilidade de efetiva aplicação das sanções administrativas estabelecidas na norma, devendo as empresas forçosamente refletirem e revisarem profundamente modelos, métodos e procedimentos de como são coletados e processados os dados pessoais de usuários e clientes.
Todas as empresas que direta ou indiretamente lidem ou tenham contato com dados pessoais, em suas mais distintas formas, apresentações ou materializações, estão obrigadas a implementar controles e estruturas de governança, tendo em vista que a LGPD regula a questão de tratamento de dados tendo como objetivo “proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural” (existem entendimentos inclusive de que é possível ser Controlador sem sequer acessar ou visualizar os dados pessoais, isto é, sem sequer tratar dados pessoais de qualquer maneira). E, para tanto, as empresas devem estar adequadas à regulamentação (já deveriam, na prática), mantendo estruturas de governança e controles internos, até mesmo para atender demandas e solicitações dos titulares de dados ou mesmo da ANPD.
Melhores práticas no processo de adequação
Naturalmente, o processo de adequação deve ser idealizado e realizado respeitando e segundo as melhores práticas de cada setor e ramo de negócios, considerando o modelo de operação interno da operação, podendo envolver as mais distintas medidas, desde simplificados ajustes (para o regramento nacional caso a empresa já tenha globalmente se adequado ao Regulamento de Proteção de Dados Europeu – RGPD) até um profundo mapeamento de fluxo de dados e relatórios de revisão de contratos com fornecedores e prestadores de serviços, treinamentos de colaboradores, alcançando até o desenvolvimento de nova política de privacidade, sendo também necessária a nomeação de um Encarregado (posto similar ao Data Protection Officer – DPO, trazido pela General Data Protection Regulation – GDPR), que atuará como um canal de comunicação entre os titulares de dados, a empresa e a ANPD, nos termos do Art. 41 da LGPD.
A ANPD publicou, inclusive, orientações e esclarecimentos sobre a entrada em vigor das sanções administrativas, em formato de Perguntas e Respostas, que deverá certamente ser mantido atualizado. O texto está disponível no seguinte endereço eletrônico: https://www.gov.br/anpd/pt-br/assuntos/noticias/sancoes-administrativas-o-que-muda-apos-1o-de-agosto-de-2021
As sanções administrativas estão previstas e reguladas nos Artigos 52, 53 e 54 da LGPD, e contemplam hipóteses que vão desde a aplicação de advertência às entidades que cometerem infrações, com indicação de prazo para adoção de medidas corretivas, ou a determinação de efetiva eliminação dos dados sob tratamento, até a aplicação de multa de até 2% (dois por cento) do faturamento da empresa (multa limitada a R$ 50 milhões de reais por infração) [3]. O cálculo das multas que vierem a ser aplicadas deverá considerar os parâmetros estabelecidos no Art. 52 da LGPD, sendo que a metodologia para o cálculo ainda será submetida à Consulta Pública.
As sanções previstas na LGPD serão aplicadas, nos termos do § 1º do Art. 52[4], de forma gradativa, isolada ou cumulativa, de acordo com as peculiaridades do caso concreto e considerados determinados parâmetros e critérios, a saber: a) gravidade e a natureza das infrações e dos direitos pessoais afetados; b) a boa-fé do infrator; c) a vantagem auferida ou pretendida pelo infrator; d) a condição econômica do infrator; e) reincidência; f) o grau do dano; g) a cooperação do infrator; h) a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados; i) a adoção de política de boas práticas e governança; j) a pronta adoção de medidas corretivas; e k) a proporcionalidade entre a gravidade da falta e a intensidade da sanção.
Contudo, importante destacar que ainda não foram estabelecidas regras procedimentais e internas da autoridade para orientar e regulamentar as ações de fiscalização. Neste sentido, aguarda-se que a ANPD edite regulamento próprio sobre sanções administrativas.
É digno de destaque que a ANPD tem buscado firmar compromissos de cooperação com outros órgãos públicos, tais como Secretaria Nacional do Consumidor – SENACON e com o Conselho Administrativo de Defesa Econômica – CADE, visando o desenvolvimento de atividades conjuntas em temas que gerem repercussões nas áreas de atuação dos órgãos envolvidos. O trabalho regulatório está em andamento e, em conformidade com sua agenda regulatória estabelecida no início de 2021, está em fase de conclusão a elaboração do Regulamento de Fiscalização e Aplicação de Sanções Administrativas da ANPD, que foi objeto de Consulta Pública entre 28 de maio e 28 de junho de 2021.
As sanções previstas na LGPD são aplicáveis a fatos ocorridos após 1º de agosto de 2021 ou para delitos de natureza continuada iniciados antes de tal data.
Cumpre destacar que a aplicação de penalidades por parte da Autoridade Nacional deverá respeitar princípios constitucionais e de direito administrativo, em especial, devendo sempre ser garantidos o contraditório e a ampla defesa, inclusive com possibilidade dos devidos recursos administrativos, respeitando os termos da Lei nº 9.784, de 29 de janeiro de 1999[5] (dentre outras aplicáveis) e normativos e regulamentos que venham a ser expedidos pela ANPD.
Ainda dependendo de aprovação do texto da proposta de regulamento, está previsto no Regulamento em tramitação que a ANPD atue com uma abordagem responsiva, ou seja, de maneira gradual, baseada no comportamento do regulado e alicerçada em um plano de monitoramento do setor que permita a priorização de temas segundo seu risco, gravidade, atualidade e relevância.
Segundo informado na publicação acima, “a proposta de regulamento prevê etapas de monitoramento, orientação, prevenção e repressão de infrações, levando em consideração as informações recebidas a partir de reclamações, denúncias, representações e notificações de incidentes para estabelecer prioridades a serem incluídas na agenda de fiscalização”.
O tema requer máxima atenção de empresários e empresas de modo geral, pois se aplica a qualquer tratamento de dados, e não apenas ao ambiente digital, exigindo de todos tanto a tarefa de conhecimento e mapeamento dos dados tratados quanto a efetiva implementação de práticas, políticas e governança apropriadas de privacidade e proteção de dados – o que inclui profundos trabalhos de treinamento e conscientização de equipes e colaboradores.
Vale lembrar que antes mesmo da preocupação com a possibilidade de sofrer aplicação de penalidades e multas administrativas, a entidade deve ter claros seus processos e trabalhar fortemente a conscientização a respeito desta nova “era de privacidade” que vivemos. E isso necessariamente passa pelo mapeamento do fluxo de dados pessoais em uma organização que deseja se adequar à LGPD, indo até sua total estruturação, com um efetivo programa de governança em privacidade. Esse processo inclui etapas e fases determinadas para alcançar bons objetivos, e envolvem (a) mapeamento; (b) diagnóstico; (c) implementação; (d) treinamento; e (e) monitoramento. O processo todo deve contemplar a avaliação, desenvolvimento, implementação e gestão de controles que garantam a segurança dos dados pessoais e mitiguem riscos de violação dos mesmos.
A atuação da ANPD é orientada para a defesa dos direitos dos titulares de dados
Conforme indicado expressamente na publicação acima indicada, a ANPD expressamente alertou, nos termos do § 2º do Art. 52, que “a aplicação das sanções previstas na LGPD não substitui a aplicação de sanções administrativas, civis ou penais definidas na Lei nº 8.078, de 11 de setembro de 1990 (Código de Defesa do Consumidor) e em legislação específica. Assim, eventual atuação de outros órgãos públicos, como agências reguladoras ou órgãos de defesa do consumidor, deve se dar segundo as suas próprias competências, ao abrigo de suas legislações específicas”.
Reforçamos ser vital ter sempre em mente que a adequação legal e o planejamento são essenciais para manter a atividade regular e minimizar riscos jurídicos.
Por fim, lembramos que já foi criado e instituído pela ANPD um canal para comunicação e denúncias de infrações relacionadas ao descumprimento da LGPD, que pode ser acessado diretamente no seguinte endereço eletrônico: https://www.gov.br/anpd/pt-br/canais_atendimento/cidadao-titular-de-dados/reclamacao-do-titular-contra-controlador-de-dados.
[1] Luís Rodolfo Cruz e Creuz, advogado e consultor em São Paulo (SP), sócio do Cruz & Creuz Advogados. Doutor em Direito Comercial pela Faculdade de Direito da Universidade de São Paulo – USP (2019); Certificate Program in Advanced Topics in Business Strategy University of La Verne – Califórnia (2018); Mestre em Relações Internacionais pelo Programa Santiago Dantas, do convênio das Universidades UNESP/UNICAMP/PUC-SP (2010); Mestre em Direito e Integração da América Latina pelo PROLAM – Programa de Pós-Graduação em Integração da América Latina da Universidade de São Paulo – USP (2010); Pós-graduado em Direito Societário – LLM – Direito Societário, do INSPER (São Paulo) (2005); Bacharel em Direito pela Pontifícia Universidade Católica de São Paulo – PUC/SP. E-mail: luis.creuz@lrcc.adv.br – Web: www.lrcc.adv.br – Twitter: @LuisCreuz – LinkedIn: https://www.linkedin.com/in/luis-rodolfo-cruz-e-creuz/
[2] Lei nº 13.709, de 14 de agosto de 2018 – Lei Geral de Proteção de Dados Pessoais (LGPD). Disponível em http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm . Acesso em 02.ago.2021
[3] Lei nº 13.709, de 14 de agosto de 2018 – Lei Geral de Proteção de Dados Pessoais (LGPD). “Das Sanções Administrativas – Art. 52. Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas nesta Lei, ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional: I – advertência, com indicação de prazo para adoção de medidas corretivas; II – multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração; III – multa diária, observado o limite total a que se refere o inciso II; IV – publicização da infração após devidamente apurada e confirmada a sua ocorrência; V – bloqueio dos dados pessoais a que se refere a infração até a sua regularização; VI – eliminação dos dados pessoais a que se refere a infração; X – suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador; XI – suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período; XII – proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.”. Disponível em http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm . Acesso em 02.ago.2021
[4] Lei nº 13.709, de 14 de agosto de 2018 – Lei Geral de Proteção de Dados Pessoais (LGPD). “Art. 52. (…) § 1º As sanções serão aplicadas após procedimento administrativo que possibilite a oportunidade da ampla defesa, de forma gradativa, isolada ou cumulativa, de acordo com as peculiaridades do caso concreto e considerados os seguintes parâmetros e critérios: I – a gravidade e a natureza das infrações e dos direitos pessoais afetados; II – a boa-fé do infrator; III – a vantagem auferida ou pretendida pelo infrator; IV – a condição econômica do infrator; V – a reincidência; VI – o grau do dano; VII – a cooperação do infrator; VIII – a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados, em consonância com o disposto no inciso II do § 2º do art. 48 desta Lei; IX – a adoção de política de boas práticas e governança; X – a pronta adoção de medidas corretivas; e XI – a proporcionalidade entre a gravidade da falta e a intensidade da sanção.”. Disponível em http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm . Acesso em 02.ago.2021
[5] Lei nº 9.784, de 29 de janeiro de 1999. Regula o processo administrativo no âmbito da Administração Pública Federal. Disponível em http://www.planalto.gov.br/ccivil_03/leis/l9784.htm . Acesso em 02.ago.2021.