[Matéria atualizada em 28/02/2023, às 16h15, para inserir fala de Ricardo Maravalhas] As expectativas do mercado para a publicação da resolução CD/ANPD nº4, que aprova o regulamento de dosimetria e aplicações de sanções administrativas, eram altas. O documento, publicado no Diário Oficial da União nesta segunda-feira, 27, mostra como serão feitas as penalidades e quais critérios estabelecidos. Em conversa com Mobile Time, os advogados especialistas em direito digital Martina El Atra, coordenadora do Departamento de Direito Digital e Privacidade de Dados da MABE Advogados Associados, Patricia Peck, sócia-fundadora do Peck Advogados e conselheira titular do Conselho Nacional de Proteção de Dados e da Privacidade (CNPD) e Ricardo Maravalhas, fundador e CEO da DPOnet, destacam cinco pontos do documento:
– os dois tipos de reincidência (específica e genérica);
– as multas retroativas, ou seja, agentes que infringiram a lei desde 1º de agosto de 2021 (data em que as sanções da LGPD entraram em vigor) poderão ser multados a partir de agora;
– a possibilidade de sanções duras, mas que não necessariamente envolvem dinheiro;
– e a ausência de uma explicação mais detalhada sobre o conceito de volumetria de dados (que pode causar discussões e dúvidas);
– em processos de empresas reguladas, a agência será ouvida, porém, a decisão final será a cargo da ANPD.
“A publicação da Resolução nº 4 tem uma importância histórica para a construção da cultura da proteção de dados. Quando a LGPD foi publicada, muitos agentes de tratamento ficaram bastante receosos com as aplicações das sanções previstas, sobretudo as pecuniárias, pois na Europa estavam sendo aplicadas multas altíssimas para as empresas que desrespeitavam as leis de proteção de dados. Com o passar do tempo e a não aplicação de nenhuma sanção pecuniária pela ANPD, os mesmos agentes, antes receosos, passaram a estar descrentes – “a LGPD não pegou”, explica Ricardo Maravalhas. A partir da publicação da Resolução 4 não esperamos que as empresas voltem a temer a LGPD, mas entender sua força e importância e, assim, possam adotar as medidas e diretrizes impostas pela legislação, a fim de que o tratamento de dados pessoais, no Brasil, seja realizado de forma segura, visando garantir os direitos e garantias fundamentais dos titulares”, complementa.
Reincidências específica e genérica
A advogada Patrícia Peck, CEO e cofundadora do escritório Peck Advogados. Foto: divulgação
Por reincidência específica a lei diz que se trata de “repetição de infração pelo mesmo infrator ao mesmo dispositivo legal ou regulamentar, no período de 5 (cinco) anos, contado do trânsito em julgado do processo administrativo sancionador, até a data do cometimento da nova infração”.
E por reincidência genérica: “cometimento de infração pelo mesmo infrator, independentemente do dispositivo legal ou regulamentar, no período de 5 (cinco) anos, contado do trânsito em julgado do processo administrativo sancionador até a data do cometimento da nova infração.”
Ou seja, se uma empresa violar um artigo e, em um prazo de cinco anos, descumprir outro dispositivo da LGPD, apesar de aparentemente não serem conexos, o novo caso será tratado como reincidência por parte desta empresa.
“A ANPD criou o conceito de reincidência genérica – quando ocorre a violação de mais de um dispositivo da lei em um prazo de cinco anos. Achei esse ponto importante. E dá a impressão de que a autoridade já deve ter casos que se enquadram neste ponto. Trouxeram essa conceituação para não perder esse passado”, considera a advogada Patricia Peck.
Multas retroativas
Mesmo os vazamentos de dados ocorridos desde 1º de agosto de 2021 (data em que as sanções da LGPD entraram em vigor) estão sendo analisados e, caso necessário, sofrerão sanções.
“As multas vão efetivar o cumprimento da lei. O brasileiro precisa que doa algo no bolso para se mexer. Muitas empresas estavam esperando a dosimetria para iniciar a implementação de seus programas de proteção de dados”, diz Martina El Atra. “Muitas companhias estão atrasadas na implementação de seus programas de proteção de dados e essas podem ter uma surpresa”, completa.
Sanções
Outro ponto abordado foi a possibilidade de uma empresa sofrer sanções que não envolvam multa, como: advertência, para casos leves; publicização da infração; bloqueio dos dados pessoais; eliminação dos dados pessoais a que se refere a infração; suspensão parcial do funcionamento do banco de dados; suspensão do exercício da atividade de tratamento dos dados pessoais; e proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
Advogada Martina El Atra, coordenadora do Departamento de Direito Digital e Privacidade de Dados da MABE Advogados Associados. Foto: divulgação
“A publicização é uma maneira de penalizar mostrando para os consumidores o tipo de empresa com a qual eles estão mantendo uma relação. Vai além da multa em si”, diz El Atra.
As penalidades que envolvem a suspensão, eliminação ou até mesmo proibição do banco de dados pessoais são, muitas vezes, mais severas do que a multa que envolve dinheiro. “Muitas vezes, as empresas empurram as multas com a barriga, parcelam e vão levando. Mas deixar de usar o banco de dados pode ser uma sanção muito mais severa do que tirar o dinheiro do bolso”, acredita.
Texto genérico
Peck aponta que a regulamentação possui, em alguns momentos, uma “redação genérica”, em especial quanto à volumetria da base de dados. “Não há parâmetros de uma redação mais clara. Diz apenas ‘números significativos de titulares’. Não tem uma porcentagem da base, um valor pré-determinado. Há uma margem de subjetividade desse critério e pode render debates e discussões, dependendo do caso”, alerta.
Para Martina El Atra, a questão de larga escala é discutida há tempos e, mesmo assim, a autoridade não quis entrar neste ponto por ser uma questão relativa. “Teremos uma definição prática. Ou seja, a partir dos casos que já estão sendo analisados. Vimos isso na decisão sobre dano moral, perda de um familiar. Como mensurar essas questões?”, diz.
Empresas reguladas e governos
Agências reguladoras, como Cade Anatel, Aneel, serão ouvidas nos processos de empresas cujos setores são regulados, uma vez que o mesmo caso pode haver interpretações distintas. “A ANPD continua com a prioridade da prescrição”, explica Peck. “E ela vai escutar a entidade sobre os impactos de uma sanção do mercado”, completa.
Neste caso, a entidade reguladora terá 20 dias úteis para se manifestar sobre o caso.
Vale lembrar ainda que os governos também podem sofrer sanções. No entanto, a ANPD não poderá multar.
Programa x Projeto
A dosimetria também aponta para alguns fatores que poderão atenuar as sanções e multas. A causalidade, a boa-fé da empresa, um programa contínuo de proteção de dados, são fatores que certamente contribuirão para atenuar a penalidade. “A ANPD vai verificar qual a vantagem do infrator para esse vazamento, a condição financeira da empresa, se houve reincidência, se estão adotando práticas saudáveis de tratamento de dados, o grau do dano ao titular do dado. E vão analisar se houve ou não cooperação do infrator. Tudo isso será levado em conta”, explica El Atra.
Maravalhas destaca a questão das atenuantes e agravantes, que privilegia aqueles que estão em processo de adequação. “Pois o fato de já terem sido adotados e demonstrados mecanismos capazes de minimizar o risco do tratamento de aos titulares, poderão reduzir os valores aplicados a título de multa, pois o agente de tratamento estará apto a demonstrar que se encaixa nos benefícios oferecidos pelas atenuantes previstas na Resolução nº 4”, explica.
“A política de boas práticas e a governança geram atenuantes”, resume Peck. “Muitas empresas começaram a implementar ações de segurança dos dados, mas, com o tempo, vai havendo um arrefecimento e a tendência é não dar continuidade. Acredito que essa parte da valorização das medidas de governança como atenuante possam contribuir para que os DPOs mantenham seus orçamentos, de modo que deem continuidade do programa. É preciso manter campanhas educativas, comitê de proteção de dados, reuniões periódicas e gerar atas. É um programa contínuo, não é um projeto”, resume Peck.
