
Sanções da LGPD, o famoso Dia D: 1º ago. 21, . Para falarmos de sanções da ANPD, precisamos inicialmente, reiterar dois tópicos: o que postergou as sanções previstas na LGPD para hoje (1º ago. 21) e modelo de regulação adotado pela ANPD. Vamos lá?
Lei nº 14.010/2020, postergou as sanções previstas na LGPD
Em 19 de maio de 2020, em sessão remota, o Plenário do Senado rejeitou o substitutivo da Câmara dos Deputados ao Projeto de Lei (PL) nº 1.179/2020, que cria regras transitórias, para vigorar durante o período de combate à COVID-19. O trecho do projeto relacionado à LGPD, foi alterado; com isso, o Senado aprovou o fim da vacatio legis da LGPD, como incialmente era previsto pela própria Lei, no ato de sua publicação no Diário Oficial da União. Os senadores também resgataram e modificaram o texto do referido PL; com isso, o texto previu a prorrogação dos artigos 52 e 54, da LGPD, relativos a sanções que poderão ser aplicadas pela Autoridade Nacional de Proteção de Dados (ANPD), para 1º de agosto de 2021. O PL nº 1.179 foi transformado na Lei nº 14.010 de 10.06.2020. Embora muito controverso, o argumento dos senadores foi de que a LGPD precisava entrar em vigor, para que o processo eleitoral, siga livre das fake news.
Regulação responsiva
E, o que escrever sobre o modelo de regulação responsiva? A ANPD vem se manifestando publicamente que adotará uma abordagem mais estratégica, ou seja, uma abordagem responsiva, baseada em teorias mais modernas de regulação. Onde o órgão sai da abordagem comando/controle (regulação tradicional) para uma abordagem mais gradual, ou seja, que responde ao comportamento do regulado. Desta forma, uma atuação proativa baseada no monitoramento de setores, onde estão os maiores problemas, isto é, os setores mais complicados.
O modelo de regulação responsiva sugere a adoção de incentivos entre as transgressões à LGPD e seu tratamento de acordo com a sua gravidade. Com isso, espera-se que os incentivos motivem os regulados a manterem um comportamento adequado. Contudo, é claro que a ANPD poderá atuar fundamentada em ofício, e ir direto para a repressão, isto é, no modelo convencional de regulamento versus processo sancionador. Num geral, o modelo de regulação responsiva pode ser desmembrado em:
- Acolhimento e tratamento de requerimentos;
- Chega-se a indicadores de onde estão as áreas mais sensíveis;
- Criação de mapas;
- Estratégia de Fiscalização;
- Monitoramento;
- Orientações: conscientização/ orientação;
- Atividades Preventivas;
- Atividades com cunho preventivo, reparatório;
- Etapa repressiva, com caráter punitivo, sancionador.
Um bom exemplo sobre a lógica de modelo regulação tradicional vs responsivo é o dado pelo professor da UNB, Marcio Iorio Aranha, que disse: “Se você acredita que bater no seu filho, ou seja, a violência já não é mais a maneira adequada de educar um ser humano, você já tende a acreditar que o modelo comando/ controle (modelo tradicional) já não produz os efeitos desejados.”
O modelo tradicional é baseado numa abordagem mais parecida com a Política Big Stick, ao invés de uma Política New Deal. A Política do Big Stick é uma referência a forma como o ex-presidente norte-americano Theodore Roosevelt (1858 – 1919) resolvia problemas diplomáticos: “com fala macia e um grande porrete, você vai longe”. Já a Política New Deal, adotada por Franklin D. Roosevelt. Esta política consistia em abandonar a intervenção militar nos países do continente americano e substituí-la pela diplomacia e aproximação cultural.
Segundo Fabrício Lopes, Coordenador-Geral de Fiscalização da ANPD, o Estado tem obrigação de evoluir com o tempo, ou seja, com serviços melhores e mais eficientes para a Sociedade. Sendo assim, cabe neste momento, o Estado testar uma regulação diferente da tradicional, a fim de obter uma conduta melhor do regulado.
A ideia do modelo é ir graduando a sanção de acordo com as respostas dos regulados. Neste caso, o modelo responsivo tende a ser muito mais eficaz e barato, já que os recursos do Estado tendem a ser poupados, com uma abordagem de mitigação de riscos e danos.
A fiscalização da ANPD e as sanções administrativas
O Capítulo VIII, da LGPD, fala sobre a fiscalização da ANPD, e abrange os Arts. 52 e 53. Os referidos artigos deixam claro que os agentes de tratamento (controladores e operadores) que violarem a LGPD, ficarão sujeitos a sanções administrativas aplicáveis pela ANPD, a saber:
- advertência, com indicação de prazo para adoção de medidas corretivas;
- multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
- multa diária, observado o limite total a que se refere o inciso II;
- publicização da infração após devidamente apurada e confirmada a sua ocorrência;
- bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
- eliminação dos dados pessoais a que se refere a infração;
- suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;
- suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período;
- proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
Sobre 1º de agosto de 2021
Ao contrário do que muitos imaginaram ou pregaram, os servidores da ANPD não saíram hoje a campo, em carreata, com pranchetas, tablets ou notebooks, para sancionar quem está violando a LGPD. Salvo em memes na internet. A ANPD já deu vários indícios de que ela pretende ir além de um modelo bastante consolidado na iniciativa pública, que é a lógica do cara-crachá, binário. Cumpriu? Não cumpriu? Sanção.
O modelo de regulação tradicional poderia funcionar, se não houvesse algumas particularidades, como por exemplo:
- Tempo: às vezes, um processo administrativo demora a acontecer. Este tempo pode chegar a mais de quatro anos. Neste caso, por mais que a ANPD sancione uma organização (ou profissional liberal que faça tratamento de dados com fins comerciais), em função da nossa Constituição de 1988, este agente poderá recorrer ao Judiciário, o que demandará mais tempo ainda;
- Boas práticas vs inércia: há a possibilidade de uma organização que vem adotando as boas práticas ao longo de meses, e até anos, de repente cometer uma violação. Por outro lado, uma outra organização inerte, que usa de má-fé e de artimanhas, no que se refere ao cumprimento da legislação, pode cometer uma violação equivalente. É justo que a sanção aplicada por uma Autoridade seja equivalente para ambas? A probabilidade de isso acontecer no modelo de regulação tradicional é imensa. É preciso diferenciar uma empresa que coopera, de uma empresa que não coopera.
Muitas vezes o c-level atual de uma organização não ser o mesmo, contemporâneo à infração, pois as pessoas mudam de cargo, de empresa. Ou seja, os colaboradas do nível estratégico daquela organização, que decidiu não cumprir a LGPD, muitas vezes não estará mais lá, quando a sanção de fato for cumprida. Neste exemplo, o efeito pedagógico não será eficaz. Isso seria diferente caso fosse possível um processo expedito de sanção.
Cabe ressaltar, que embora não fosse costume ser debatido pela sociedade, podemos retroagir a 1990, quando a Lei nº 8.078, de 11 de setembro de 1990 entrou em vigor. Esta ficou conhecida como Código de Defesa do Consumidor (CDC), e dispõe sobre a proteção do consumidor. Na sua Seção VI, Dos Bancos de Dados e Cadastros de Consumidores, o seu Art. 43, prevê que o consumidor, sem prejuízo do disposto no art. 86, terá acesso às informações existentes em cadastros, fichas, registros e dados pessoais e de consumo arquivados sobre ele, bem como sobre as suas respectivas fontes. Com destaque para o § 2°: “A abertura de cadastro, ficha, registro e dados pessoais e de consumo deverá ser comunicada por escrito ao consumidor, quando não solicitada por ele”.
Outra Lei muito relevante a este debate é a Lei nº 12.965, de 23 de abril de 2014, que ficou conhecida como Marco Civil da Internet, que estabelece princípios, garantias, direitos e deveres para o uso da Internet no Brasil. Esta lei já traz conceitos de proteção e garantia da privacidade,
Ou seja, a cultura de privacidade de proteção de dados já tem mais tempo no Brasil do que se imagina. Contudo, não eram foco de debate de grande parte da Sociedade Brasileira. O que está acontecendo é que cada vez mais outras leis e instrumentos infralegais foram se aprofundando no conceito e ampliando o debate com a Sociedade. Antes era um tema discreto e relegado. A LGPD colocou a privacidade e proteção de dados no centro das atenções de inúmeros cidadãos. Mas, ainda falta alcançar muita gente.
É importante reconhecermos que a cultura de privacidade e proteção de dados da Sociedade ainda está longe de estar plenamente desenvolvida. É necessário que as autoridades escutem as demais partes interessadas, a fim de haja um modelo de construção conjunta. O fato de ouvir, não significa que as autoridades devam concordar com tudo.
Cabe ressaltar que convém que consideremos um elemento transversal na LGPD, que é atribuído ao risco para o titular de dados pessoais. E, com base nas atribuições da ANPD, previstas no Art. 55-J, da LGPD, no inciso III, esta Autoridade está elaborando diretrizes para a Política Nacional de Proteção de Dados Pessoais e da Privacidade, no que se refere às Micro e Pequenas Empresas (MPE). Tais diretrizes, segundo Fabrício Lopes, serão publicadas em breve, pela ANPD. Estas diretrizes virão em forma de guia de segurança da informação para MPE. A ANPD entende que é necessário externalizar para a Sociedade o que ela entende como boas práticas mínimas, suficientes. Como cobrar de alguém se a sociedade não souber o que é suficiente? Como investir se a Sociedade não souber o que é suficiente? Após a publicação deste guia, teremos enfim, um parâmetro. Num geral, a grande maioria das pessoas acha que privacidade e segurança da informação são demais, até o momento que dá problema, traz transtorno.
Segundo publicação do SEBRAE, de 11 de maio de 2020, que mostra um painel de empresas no Brasil, MEI e ME representam cerca de 85% de todas as empresas, no país. Contudo, foco de debate na ANPD, a classificação das empresas e o nível de exigência desta Autoridade frente a elas tende a ser realizado com base nas atividades fim destas organizações e na quantidade e sensibilidade dos dados tratados, e não com base no Receita Operacional Bruta (ROB) das empresas ou conforme a renda anual de clientes pessoas físicas, ou até mesmo número de funcionários.
Como a ANPD entenderá que uma organização atingiu o estado da arte esperado para ela, de privacidade e proteção de dados? Ou seja, como saber que aquela organização tomou todas as atitudes e adequou os seus processos para estar compliant com a LGPD? A trilha de auditoria é um excelente caminho. Convém que os sistemas de gestão de privacidade e segurança da informação sejam fundamentados em boas práticas, que sejam incontestáveis. A lógica da boa-fé é imprescindível. Ressalta-se que uma organização estar certificada ou não, aos olhos da ANPD terá mais ou menos o mesmo peso, contanto que a maturidade, a qualidade e eficácia de seus sistemas sejam equivalentes. Os princípios previstos na LGPD também devem ser adotados.
Mesmo as empresas que já tenham sistemas de gestão de privacidade e segurança da informação estão sujeitas a violarem a LGPD. A falha humana é um fator.
Conclusão
Todos nós sobrevivemos ao 1º de ago 2021, algo parecido com o que aconteceu no Bug do Milênio. A vida segue. Contudo, as organizações precisarão se dedicar e se envolver mais de perto com a LGPD, seja através de: capacitação, gestão de risco, adequação multidisciplinar, auditorias etc. O que as organizações não devem abrir mão:
- Sistema de gestão;
- Capacitação em todos os níveis: operacional, tático e estratégico;
- Adoção de boas práticas;
- Frameworks com eficácia no mercado (normas técnicas ABNT/ISO, por exemplo);
- Adoção dos princípios previstos na LGPD.
Sobre a ANPD:
- A ANPD não será incentivadora, da já conhecida, indústria de multas em nossa Sociedade;
- A ANPD não esperou o dia 1º de agosto para começar a atuar;
- A ANPD já vem atuando, desde os seus primeiros dias, com o pleno objetivo de proteger os dados pessoais dos titulares.
A partir de hoje, as sanções poderão ser aplicadas, o que significa que a ANPD mudará o seu modus operandi? Não necessariamente. A intenção da ANPD é atuar preventivamente, ou seja, antes de todo e qualquer incidente. A primeira etapa, como muitos já sabem, será orientadora, para auxiliar uma mudança de cultura, em toda Sociedade. Ninguém é uma ilha, quando o assunto é privacidade e proteção de dados. Não somos sistemas fechados. Lembrando que em um modelo de regulação responsiva, a sanção, é o último recurso nesta pirâmide. E, significa que aquela autoridade já esgotou todas as outras abordagens e possibilidades. Comparando no modelo Civil, é como se fossem as perdas e danos.
Para PME, por mais que a ANPD flexibilize o nível de exigência, às vezes, as grandes empresas só contratarão uma PME caso esta tenha equivalência de adequação no que se refere às suas contratantes. Isto é, provavelmente a exigência do nível de adequação de uma empresa virá de outro lado, não necessariamente o da ANPD, mas o do mercado.
Finalmente hoje entra em vigor a LGPD em sua plenitude. Todos os seus 65 artigos. Vamos apostar no futuro! A LGPD já começou a ser adotada pelas grandes organizações, a exemplo da PETROBRAS, Licitação nº 7003126031, do ano passado. Desta forma, a LGPD também já está chegando a sua cadeia de fornecimento. O efeito cascata é esperado. Vamos que vamos! Ah, não se esqueça das normas técnicas!
Referências Bibligráficas
AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS. Norma de fiscalização. Disponível em: https://www.gov.br/participamaisbrasil/norma-de-fiscalizacao-da-anpd. Acesso em: 1 ago. 2021.
BRASIL. Lei nº 8.078, de 11 de setembro de 1990. Brasília, DF: Presidência da República, [1990]. Disponível em: http://www.planalto.gov.br/ccivil_03/leis/l8078compilado.htm. Acesso em: 1 ago. 2021.
BRASIL. Lei nº 12.965, de 23 de abril de 2014. Brasília, DF: Presidência da República, [2014]. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2014/lei/l12965.htm. Acesso em: 1 ago. 2021.
BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Brasília, DF: Presidência da República, [2018]. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2015-2018/ 2018/lei/L13709.htm. Acesso em: 1 ago. 2021.
BRASIL. Lei nº 13.853, de 8 de julho de 2019. Brasília, DF: Presidência da República, [2019]. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2019-2022/2019/lei/ l13853.htm. Acesso em: 1 ago. 2021.
BRASIL. Lei nº 14.010, de 10 de junho de 2020. Brasília, DF: Presidência da República, [2020]. Disponível em: http://www.planalto.gov.br/ccivil_03/_ato2019-2022/2020/lei/ L14010.htm. Acesso em: 1 ago. 2021.