Mercado aguarda aplicação de penas pela ANPD

Com início das sanções previstas pela LGPD, espera-se melhor compreensão de aspectos subjetivos

NotíciasLegislação e regulamentação
Por Redação
Dosimetria: mercado aguarda aplicação de penas pela ANPD
Dosimetria de penas da ANPD | Imagem: Freepik
0

Após passar por uma audiência pública que recebeu mais de dois mil comentários, foi publicada a esperada norma do Conselho Diretor da Autoridade Nacional de Proteção de Dados (ANPD) que trata da dosimetria das penas aplicáveis às empresas que descumprirem a Lei Geral de Proteção de Dados (LGPD). A Resolução nº 4/2023 trouxe poucas modificações em relação à minuta apresentada ao mercado e  reiterou os critérios que devem ser utilizados para estabelecer as sanções. Agora, advogados e empresas vão acompanhar a aplicação das penas para esclarecer os pontos que ainda são carregados de subjetividade.

“Será necessário aguardar a aplicação de sanções pela ANPD para que os conceitos se consolidem e tragam segurança jurídica aos agentes de tratamento”, considera Rodrigo Pôssas, associado do Freitas Ferraz Advogados. Isso porque a Resolução não trouxe algumas definições, como o que é o tratamento de dados pessoais em larga escala (artigo 8º, §3º) e a possibilidade de afastamento da metodologia de dosimetria de sanção de multa, como previsto no artigo 27.

Flavia Meleras e Renato Rossi Filho, consultora e associado do Vieira Rezende Advogados, avaliam que o regulamento da dosimetria terá elevado impacto no mercado, aumentando a visibilidade da ANPD. Eles esperam que o início da aplicação das penas resulte num aumento da procura pelo Poder Judiciário em demandas relacionadas à privacidade e proteção de dados pessoais, não só porque o início das sanções dá maior visibilidade ao tema da proteção de dados pessoais, mas também porque o Regulamento não definiu com muita objetividade os critérios para a aplicação das penalidades mais graves.

“A Resolução nº 4/2023 demonstra muitos de seus critérios em uma forma taxativa. Entretanto, a sua aplicação exigirá uma alta carga subjetiva por parte da ANPD e das empresas e profissionais ligados ao tema da privacidade”, afirmam Meleras e Rossi Filho. Exemplos da carga subjetiva são critérios como “a gravidade e a natureza das infrações e dos direitos pessoais afetados”, “grau do dano” e a “proporcionalidade entre a gravidade da falta e a intensidade da sanção”. Para os advogados, a autoridade deverá auxiliar a sociedade na interpretação da Resolução nº 4/2023 por meio de eventos, notas técnicas e guias orientativos.

Guilherme Guidi, associado do Freitas Ferraz Advogados, diz que as mudanças do regulamento, em relação à minuta de norma, podem parecer pequenas, mas algumas delas trazem impactos práticos relevantes, como a definição do que seria grupo ou conglomerado de empresas, ajustes aos critérios de classificação da infração como média e a substituição do termo “má-fé” para a expressão “adoção sistemática de práticas irregulares pelo infrator”, reduzindo o nível de subjetividade da expressão anterior. “Essas mudanças, especialmente a última mencionada, podem alterar substancialmente a forma de a ANPD julgar certos aspectos de uma conduta ao avaliar seu grau de reprovabilidade”, avalia.

Na entrevista abaixo, Meleras, Rossi Filho, Pôssas e Guidi abordam a Resolução da ANPD que versa sobre a dosimetria.

– Quais são as principais penas estabelecidas, seus atenuantes e aspectos que a ANPD levará em consideração na aplicação de penas por descumprimento da LGPD, conforme a Resolução 4?

Flavia Meleras e Renato Rossi Filho: A Resolução nº 4/2023 do Conselho Diretor da Autoridade Nacional de Proteção de Dados (ANPD) que aprovou o Regulamento de Dosimetria e Aplicação de Sanções Administrativas, recém finalizada e publicada no Diário Oficial da União, possui como principal função o estabelecimento de parâmetros e critérios para aplicação de sanções administrativas pela ANPD, por meio da fixação de metodologias para aplicação das sanções, das formas e dosimetrias para o cálculo do valor base das multas aplicáveis.

Desta forma, em regra, a Resolução não criou nenhuma nova sanção, mas formalizou o procedimento para a aplicação das sanções que foram instituídas pela Lei Geral de Proteção de Dados Pessoais (LGPD). As sanções de competência da ANPD em razão das infrações cometidas estão previstas no artigo 52 da LGPD:

 

  1. a) Advertência;
  2. b) Multa simples, de até 2% do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício;
  3. c) Multa diária;
  4. d) Publicização da infração;
  5. e) Bloqueio dos dados pessoais relacionados à infração;
  6. f) Eliminação dos dados pessoais relacionados à infração;
  7. g) Suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de seis meses, prorrogável por igual período;
  8. h) Suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de seis meses, prorrogável por igual período;
  9. i) Proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.

 

A Resolução nº 4/2023 apresenta de forma expressa e mais detalhada as consequências de cada tipo de infração distinguindo-as em leves, médias ou graves e estabelece outros parâmetros, como circunstâncias agravantes e atenuantes, que são utilizados para decidir qual é a sanção aplicável para o caso concreto.

Em relação aos critérios da dosimetria que serão levados em conta pela ANPD, os aspectos mais importantes estão no artigo 7º da Resolução, que determinou que para a definição da sanção a ser aplicada, deverão ser avaliados os seguintes parâmetros e critérios: a gravidade e a natureza das infrações e dos direitos pessoais afetados; a condição econômica do infrator; a boa-fé do infrator; a vantagem obtida ou pretendida; a reincidência (específica ou genérica); o grau do dano; a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados, em consonância com a LGPD; a adoção de política de boas práticas e governança pelo infrator; a rápida adoção de medidas corretivas e a proporcionalidade entre a gravidade da falta e a intensidade da sanção.

Importante destacar que qualquer decisão da ANPD que imponha sanção administrativa deve ser fundamentada, destacando os critérios atenuantes e/ou agravantes que foram utilizados na determinação da penalidade aplicada.

Rodrigo Pôssas: as sanções elencadas pela resolução refletem aquelas previstas pelo artigo 52 da LGPD, como advertência, multas (simples e diária), bloqueio ou eliminação dos dados pessoais a que se refere a infração e proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados, dentre outras elencadas pelo artigo 3º da Resolução.

A ANPD levará em consideração diversos critérios, especialmente aqueles elencados pelo artigo 7º da Resolução. Dentre as várias hipóteses, destacamos a boa-fé do infrator, o grau do dano e a adoção de política internas de governança e padrões de boas práticas.

As circunstâncias atenuantes envolvem a cessação da infração, a adoção de boas práticas e de governança, medidas capazes de reverter ou mitigar os efeitos da infração e, por fim, a cooperação ou boa-fé do infrator.

– Com relação à minuta de dosimetria publicada pela Autoridade, houve mudanças significativas?

Flavia Meleras e Renato Rossi Filho: Em relação à proposta do “Regulamento de Dosimetria a Aplicação de Sanções Administrativas”, o texto final, consolidado na Resolução nº 4/2023 da ANPD não trouxe mudanças significativas em relação à minuta. Conforme o site da ANPD, na consulta pública realizada em 2022 sobre a proposta do regulamento, foram protocoladas 2.504 contribuições da sociedade; entretanto, isso não resultou efetivamente em uma mudança substancial nos termos da minuta.

Algumas sugestões foram contempladas, como a solicitação de esclarecimento de como seriam interpretados os conceitos de infração média associados a “afetar significativamente interesses e direitos fundamentais dos titulares de dados pessoais” e “tratamento de dados pessoais em larga escala”. O tratamento de larga escala foi deslocado das infrações médias no §2º para o §3º, que trata das infrações graves e definido na mesma linha do que tinha sido definido para os agentes de pequeno porte.

Guilherme Guidi: As mudanças desde a primeira minuta do regulamento podem parecer pequenas, mas algumas delas trazem impactos práticos relevantes, como a definição do que seria “grupo ou conglomerado de empresas”, ajustes aos critérios de classificação da infração como média e a substituição do termo “má-fé” para a expressão “adoção sistemática de práticas irregulares pelo infrator”, reduzindo o nível de subjetividade da expressão anterior. Essas mudanças, especialmente a última mencionada, podem alterar substancialmente a forma de a ANPD julgar certos aspectos de uma conduta ao avaliar seu grau de reprovabilidade.

– Na minuta, especialistas consideraram que haveria grande dose de subjetividade na aplicação das penas. Em que medida essa situação permanece na Resolução 4 da ANPD?

Flavia Meleras e Renato Rossi Filho: A Resolução nº 4/2023 demonstra muitos de seus critérios em uma forma taxativa. Entretanto, a sua aplicação exigirá uma alta carga subjetiva por parte da ANPD e das empresas e profissionais ligados ao tema da privacidade.

Por exemplo, alguns critérios como “a gravidade e a natureza das infrações e dos direitos pessoais afetados”, “grau do dano” e a “proporcionalidade entre a gravidade da falta e a intensidade da sanção”, para serem aplicados de forma que garanta segurança jurídica para as empresas, precisam de uma certa carga de subjetividade para a sua aplicação.

A alta subjetividade permanece, pois não foram adotadas, pela ANPD, mudanças significativas no texto da regulamentação ou nos apêndices I e II da Resolução, os quais trazem a definição de alguns termos e esclarecem critérios.

Entretanto, a ANPD, com seu papel orientativo, deverá auxiliar a sociedade na interpretação da Resolução nº 4/2023 por meio de eventos, notas técnicas e guias orientativos.

Rodrigo Pôssas: A resolução dispõe de alguns conceitos e previsões que carecem de preenchimento pela regulamentação ou pelos precedentes a serem estabelecidos pela própria ANPD à medida que venha a enfrentar certas questões diante de casos concretos, carregando assim certa dose de subjetividade na aplicação das sanções.

Será necessário aguardar a aplicação de sanções pela ANPD para que os conceitos se consolidem e tragam segurança jurídica aos agentes de tratamento.

Alguns exemplos incluem a (in) definição do que seria “Tratamento de Dados Pessoais em Larga Escala” (artigo 8º, §3º) e a possibilidade de afastamento da metodologia de dosimetria de sanção de multa, como previsto no artigo 27 da Resolução.

– Como o mercado deve se adaptar ao início da aplicação das penas? É esperado aumento da procura pelo Judiciário?

Flavia Meleras e Renato Rossi Filho: O regulamento da dosimetria terá elevado impacto no mercado. O início da aplicação das sanções pela ANPD dará maior visibilidade para a Autoridade, tendo em vista que o seu procedimento fiscalizatório e sancionador é um dos elementos essenciais para garantir o “enforcement” da legislação e também para cultivar uma cultura de proteção de dados pessoais no Brasil. Dessa forma, a grande maioria das empresas está acompanhando com atenção a evolução da questão, especialmente aquelas que ainda não se adequaram à LGPD porque não havia sequer possibilidade concreta de serem sancionadas.

Fora do âmbito administrativo, é esperado um aumento da procura pelo Poder Judiciário em demandas relacionadas à privacidade e proteção de dados pessoais, isto porque, como dito, o início do procedimento fiscalizatório e sancionador da ANPD, além de dar maior visibilidade para a Autoridade, dará também maior destaque para o tema da proteção de dados pessoais, não só para as empresas mas também para os titulares – o que naturalmente ensejará um aumento no numero de demandas, que vem crescendo com o passar dos meses desde o início da vigência da LGPD. Da mesma forma, empresas poderão questionar no Poder Judiciário decisões da ANPD, já que o Regulamento não tem definido com muita objetividade os critérios para a aplicação das penalidades mais graves.

Rodrigo Pôssas: O regulamento da ANPD transmite um recado claro no sentido de que a adoção de um Programa de Governança em Privacidade e Proteção de Dados é – e será – critério fundamental na mensuração e aplicação de qualquer sanção. A adoção comprovada de boas práticas e políticas de governança em proteção de dados refletirá diretamente, por exemplo, no próprio cálculo de sanções pecuniárias, como no caso de multa.

Com isso, a aprovação da norma deve ser recebida pelo mercado como critério fomentador de investimentos em programas de adequação à LGPD. Para além da vantagem competitiva, a adoção de programas passa a representar certa salvaguarda à empresa na ocorrência de infrações envolvendo a LGPD.

Quanto à procura pelo Judiciário, precisamos aguardar o andamento dos processos sancionadores em curso para termos visão mais clara de como a ANPD aplicará as sanções e qual será a propensão dos atores envolvidos à judicializar questões específicas do processo administrativo sancionador. De forma indireta, no entanto, a resolução poderá fomentar a discussão no Poder Judiciário de algumas questões da própria LGPD e aumentar o nível de maturidade da questão pelo Judiciário.

Redação

Os textos deste autor foram produzidos por editores da Capital Aberto responsáveis pelo Legislação & Mercados

Você pode gostar também Mais conteúdos deste autor
Deixe uma resposta

Seu endereço de e-mail não será publicado.