(Victor Leal)
A Autoridade Nacional de Proteção de Dados (ANPD), órgão nacional responsável por zelar, implementar e fiscalizar o cumprimento da Lei Geral de Proteção de Dados (LGPD), editou o seu regulamento de fiscalização e aplicação de penalidade (Anexo da Resolução do Conselho Diretor da ANPD nº. 01/2021, Diário Oficial da União de 29/10/2021).
Como se sabe, a LGPD (Lei federal nº. 13.709/2018), foi modificada, em 2019, pela Lei nº. 13.853/2019 e, em 2020, pelas Lei nº. 14.010 e nº. 14.058, editadas sobretudo para postergar a aplicação das sanções estipuladas nessa legislação.
Porém, esses adiamentos já tiveram os seus prazos esgotados e a fiscalização e possível sanção/punição por descumprimento da LGPD já podem ser aplicadas desde 01º/08/2021 pela ANPD (art. 65, inciso I-A, da LGPD): “as sanções previstas na LGPD são aplicáveis a fatos ocorridos após 1º de agosto de 2021 ou para delitos de natureza continuada iniciados antes de tal data”[1]
Assim, muito se tem questionado se ainda é juridicamente possível adequar um negócio às normas da LGPD.
E a resposta é: sim.
Primeiro, sob o ponto de vista prático, é pouco provável que a ANPD imprima a sua agenda de fiscalização com a amplitude e intensidade necessárias a assegurar o cumprimento da LGPD num país de dimensões continentais, eis que o próprio órgão tem apenas 1 (um) ano de existência, sendo certo que a 1ª Reunião Ordinária do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade – CNPD ocorreu em 08/11/2021 e as primeiras apurações[2] e acordos de cooperação de técnica[3] aconteceram no primeiro semestre de 2021.[4]
Isto é, a fiscalização ainda é incipiente.
Segundo, o já referido Regulamento do Processo de Fiscalização e do Processo Administrativo Sancionador no âmbito da Autoridade Nacional de Proteção de Dados acentua que a fiscalização compreende, também, as atividades de monitoramento, orientação e atuação preventiva (art. 2º c/c art. 15 do Regulamento[5]):
A atividade de orientação caracteriza-se pela atuação baseada na economicidade e na utilização de métodos e ferramentas que almejam a promover a orientação, a conscientização e a educação dos agentes de tratamento e dos titulares de dados pessoais.
A atividade preventiva consiste em uma atuação baseada, preferencialmente, na construção conjunta e dialogada de soluções e medidas que visam a reconduzir o agente de tratamento à plena conformidade ou a evitar ou remediar situações que possam acarretar risco ou dano aos titulares de dados pessoais e a outros agentes de tratamento.
Logo, não se vislumbra, ao menos nesse estágio inicial de fiscalização, a imposição das sanções mais pesadas contra as empresas que desobedecem a LGPD. Em outras palavras e, novamente, na vida real, se houver fiscalização, a primeira eventual punição (se de fato for uma punição nos termos do Regulamento) tende a ser branda.
O terceiro e último motivo a sustentar nossa conclusão refere-se à adoção de política de boas práticas e de governança, ao lado de comportamentos de boa-fé, de cooperação e da pronta correção da irregularidade pelo infrator (art. 52 da LGPD).
Esses são exemplos de critérios jurídicos atenuantes da escolha e da dosimetria da sanção a ser aplicada, que vai, de forma gradativa, desde a advertência, passando, dentre outras penalidades, pela multa (limitada a R$ 50.000.000,00 – cinquenta milhões de reais por infração), podendo atingir, até mesmo, a proibição total do exercício de atividades relacionadas a tratamento de dados.
Ou
seja: as medidas preventivas evitam punições legais mais graves.
[1] Informação disponível em: https://www.gov.br/anpd/pt-br/assuntos/noticias/sancoes-administrativas-o-que-muda-apos-1o-de-agosto-de-2021 Acesso 20/10/21.
[2] Nota oficial de 29/01/2021 sobre vazamento de dados de mais de 220 milhões de pessoas ante informação do laboratório dfndr. Informação disponível em: https://www.gov.br/anpd/pt-br/assuntos/noticias/anpd-esta-apurando-no-caso-do-vazamento-de-dados-de-mais-de-220-milhoes-de-pessoas. Acesso em 17-11-21.
[3] Por exemplo, acordo de cooperação técnica ANPD e CADE. Informação disponível em: https://www.gov.br/anpd/pt-br/assuntos/noticias/anpd-e-cade-assinam-acordo-de-cooperacao-na-proxima-quarta-feira-02-06 Acesso em 17-11-21.
[4] O próprio planejamento estratégico da ANPD para 2021-2023 coloca a ação de “Detectar infrações à LGPD” num horizonte temporal de médio prazo – até 2 anos – sob a responsabilidade da Coordenação-Geral de Fiscalização. Documento disponível em: https://www.gov.br/anpd/pt-br/documentos-e-publicacoes/planejamento-estrategico/planejamento-estrategico-2021-2023.pdf Acesso em 17-11-21.
[5] Íntegra do ato normativo disponível em: https://www.in.gov.br/en/web/dou/-/resolucao-cd/anpd-n-1-de-28-de-outubro-de-2021-355817513. Acesso em 17-11-21.