Alexandre Almeida da Silva
OAB/GO 65.898 / OAB/SP 463.082
Formado em Direito pela UFRJ com pós-graduação em Direito Privado pela PUC-Rio
Sócio da Jacó Coelho Advogados
Os incidentes relacionados à segurança de informação com dados pessoais são bastante conhecidos e alcançam até as mais sofisticadas e modernas organizações. E, muito embora a Agência Nacional de Proteção de Dados (ANPD) ainda esteja se estruturando para exercer o seu papel, a questão das multas administrativas em razão destes incidentes já se mostrou presente[1], isso por meio de órgãos de defesa do consumidor que ocupam o vácuo regulatório neste breve período.
Desde o advento da Lei Geral de Proteção de Dados – LGPD (Lei 13.709/2018) houve muita discussão em relação às multas que a lei prevê para punir responsáveis pelo tratamento de dados pessoais que falham em suas obrigações legais, afinal a pena pecuniária prevista pode chegar a R$ 50.000.000,00 (cinquenta milhões de reais). Mas passados dois anos da Lei, agora a Agência Nacional de Proteção de Dados (ANPD) está finalizando as regras aplicáveis às sanções administrativas previstas na LGPD.
Com finalidade de ultimar as medidas normativas, para receber contribuições da sociedade, esteve em consulta pública pela ANPD até 15 de setembro de 2022 o Regulamento de Dosimetria e Aplicação de Sanções Administrativas que visa complementar o Regulamento do Processo de Fiscalização e do Processo Administrativo Sancionador (ambos regulamentam os arts. 52, 53 e 54 da Lei Geral de Proteção de Dados).
Portanto, em breve a Agência Nacional de Proteção de Dados passará a exercer ativamente o seu poder de fiscalização para punir infrações à LGPD (o que tende a reduzir o papel fiscalizatório exercido por órgãos de defesa do consumidor neste terreno).
O regulamento que regra a dosimetria das multas previstas na Lei Geral de Proteção de Dados busca estabelecer critérios para aplicação e gradação das multas no âmbito da Agência Nacional de Proteção de Dados que por lei pode aplicar as sanções dispostas no art. 52, que são:
- advertência, com indicação de prazo para adoção de medidas corretivas;
- multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
- multa diária, observado o limite total a que se refere o inciso II;
- publicização da infração após devidamente apurada e confirmada a sua ocorrência;
- bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
- eliminação dos dados pessoais a que se refere a infração;
- suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;
- suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período;
- proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
Diante deste rol é possível afirmar que o leque de opções em termos de ferramentas de sanção é abrangente, o teto da multa é alto, há a possibilidade de multa diária e, ainda, podem ser aplicadas punições de caráter reputacional (naming and shaming, pela publicização da infração como ferramenta de sanção) e outros que afetam a própria operação de tratamento de dados (suspensões do funcionamento do banco de dados ou do exercício da atividade de tratamento de dados pessoais).
Neste contexto, como a Lei das Agências Reguladoras[2] estabelece que alterações regulatórias precisam ser precedidas de estudo de análise de impacto regulatório[3], a ANPD realizou minucioso estudo e nele optou por um modelo de regulação baseado em valoração, em contraste ao baseado em tipos (infração/punição, o conhecido método de comando e controle).
Isso quer dizer que a estratégia da Agência buscará amoldar suas respostas à gravidade do fato e aos demais atributos que contextualizam o incidente com a análise da conduta e avaliação da boa-fé do infrator, dentre outros atributos previstos no §1º do art. 52 da Lei. Então, tudo indica que no processo de construção da estrutura de polícia administrativa no âmbito de proteção de dados a ANPD objetiva construir um padrão regulatório atualizado, flexível e dinâmico.
O método de regulação declarado será o responsivo[4], e seguindo esta linha metodológica, as intervenções com o regulado infrator serão baseadas em fatos e poderão escalar em rigor em razão da necessidade da medida, de modo a demonstrar que embaraçar a solução do incidente trará custos gradativamente mais pesados e que a cooperação é sempre a conduta racionalmente mais vantajosa.
Por certo, como deve ser, a finalidade será a de promover a cooperação e a transparência dos regulados, para tanto a Agência precisará informar, orientar e colaborar com o regulado por um lado e, se necessário, punir e escalar no rigor das sanções aplicadas por outro.
Finalmente, sobre a concorrência fiscalizatória e sobreposição de sanções entre a ANPD e órgãos de defesa do consumidor, tudo indica que na hipótese de haver processos administrativos sancionatórios simultâneos ou sucessivos, encerrados ou em curso, que tenham origem no mesmo incidente de segurança de informação, ainda que não se possa frustrar o exercício do poder de polícia administrativa por outro órgão que não seja a ANPD, tratando-se de penalidades administrativas, no processo que suceder o primeiro deverá ser considerada a sanção anterior, como critério e parâmetro de redução da multa posterior.
Isso converge perfeitamente com a previsão do §3º do art. 22 da Lei de Introdução às normas do Direito Brasileiro (“as sanções aplicadas ao agente serão levadas em conta na dosimetria das demais sanções de mesma natureza e relativas ao mesmo fato”) e é o que prevalece nas normas regulatórias mais atuais, como no caso parágrafo único do art. 62 da Instrução Normativa CVM nº 607/2019 (“o Colegiado considerará na dosimetria as demais sanções relativas aos mesmos fatos, aplicadas definitivamente por outras autoridades, cabendo ao acusado demonstrar, até o julgamento do processo pelo Colegiado, o cabimento dessa circunstância”).
[1] Disponível em https://agenciabrasil.ebc.com.br/geral/noticia/2022-08/senacon-multa-facebook-em-r-66-milhoes. Consulta realizada em 20/09/2022.
[2] Lei 13.848/2019, Art. 6º A adoção e as propostas de alteração de atos normativos de interesse geral dos agentes econômicos, consumidores ou usuários dos serviços prestados serão, nos termos de regulamento, precedidas da realização de Análise de Impacto Regulatório (AIR), que conterá informações e dados sobre os possíveis efeitos do ato normativo.
[3]https://www.gov.br/anpd/pt-br/documentos-e-publicacoes/2022-06-30___air_reg_dosimetria_.pdf. Consulta realizada em 20/09/2022.
[4] É o que se pode concluir do mencionado Relatório de Análise de Impacto Regulatório que em diversos trechos remete ao método de regulação responsiva, conforme citado: “A autoridade nacional vem adotando premissas do modelo baseado na teoria da regulação responsiva para graduar sua atuação e agir de modo proporcional ao comportamento do regulado e aos riscos envolvidos” (pág. 77).