O que muda para as empresas e governos a partir de fevereiro de 2023
No dia 27 de fevereiro de 2023 a Autoridade Nacional de Proteção de Dados (ANPD), publicou o último regulamento que faltava para que a agência pudesse iniciar seus processos fiscalizatórios de aplicação das sanções administrativas por violação à Lei Geral de Proteção de Dados (LGPD).
Em vigor desde 1º de agosto de 2021, as multas previstas na LGPD ainda precisavam de duas regulações antes de serem efetivamente aplicadas às empresas, instituições e demais agentes de tratamento de dados pessoais.
- A primeira delas foi acerca do regulamento do Processo de Fiscalização e do Processo Administrativo Sancionador no âmbito da ANPD, convertido na Resolução nº 1, de 28 de outubro de 2021.
- A segunda, que regulamenta a Dosimetria e Aplicação de Sanções Administrativas, foi publicada recentemente, por meio da Resolução nº 4, de 24 de fevereiro de 2023.
Assim, as regras estão postas e os agentes de tratamento, seja de qual setor for – desde o pequeno comércio – até as grandes multinacionais, estão sujeitos às novas penalidades, além das medidas judiciais cabíveis, caso a caso.
Cabe aqui o registro de que, em razão do art. 52, § 3º, da LGPD, as multas pecuniárias não são aplicáveis para os órgãos públicos, ficando mantidas as demais sanções administrativas.
No entanto, sanções como a suspensão ou a proibição do exercício das atividades de tratamento, a eliminação dos dados pessoais ou a publicização da infração – por exemplo – podem representar prejuízos bem maiores do que a mera aplicação de multa, especialmente para as empresas privadas.
Tais sanções administrativas chamarão a atenção, ainda, dos Titulares dos dados pessoais, que cientes de seus direitos, ingressarão com ainda mais ações judiciais indenizatórias em caso de danos morais ou patrimoniais.
Ressalte-se que o pagamento de multas administrativas e/ou a regularização do incidente não significam o fim das obrigações em relação aos que se sentirem prejudicados.
Some-se a isso ao abalo reputacional: quem irá confiar num negócio ou marca que reiteradamente está envolvida com violações à privacidade, por não cuidar adequadamente da proteção dos dados pessoais?
A boa notícia é que ainda há tempo para incorporar a cultura da proteção da privacidade e adotar boas práticas que protegerão os dados de clientes, colaboradores, parceiros e, consequentemente, a sociedade e o ambiente de negócios.
Entenda a dinâmica da fiscalização
Segundo as novas Resoluções da ANPD, de nº 1/2022 e nº 4/2023, a fiscalização compreende medidas como: monitoramento, orientação, atuação preventiva e repressão.
As atividades de monitoramento e orientação estão relacionadas ao levantamento de informações que deem subsídios à tomada de decisões pela ANPD, bem como a utilização de instrumentos que promovam a orientação, conscientização e educação dos Agentes de Tratamento (empresas, órgãos públicos etc.) e dos Titulares (dos dados pessoais).
A atividade preventiva consiste em uma atuação baseada na construção conjunta de medidas que visem a conduzir o Agente de Tratamento à conformidade ou a evitar ou remediar situações que possam acarretar risco ou danos aos Titulares de dados pessoais e a outros agentes de tratamento.
Tais mecanismos se materializarão em manuais, programas, políticas, orientações gerais e específicas e demais medidas que facilitarão o cumprimento da LGPD, algo que já se verifica no âmbito da ANPD, com as publicações sobre a “segurança da informação para agentes de tratamento de pequeno porte”, “cookies e proteção de dados pessoais” e “definições dos Agentes de Tratamento de dados pessoais e do Encarregado”, dentre outros.
Já a atividade repressiva caracteriza-se pela atuação coercitiva da ANPD voltada à interrupção de situações de dano ou risco, a recondução à conformidade e à punição dos responsáveis mediante a aplicação das sanções previstas no artigo 52 da LGPD, por meio de processo administrativo correspondente.
Importante salientar que a ANPD desenvolverá um Mapa de Temas Prioritários que certamente pautarão as ações fiscais, juntamente com o Relatório de Ciclo de Monitoramento, que promoverão a atuação especializada em determinados setores, bem como a manutenção do acompanhamento e vigilância.
Existe, ainda, a possibilidade de denúncia anônima, que será recebida quando for verificada a verossimilhança das alegações e não for necessária a identificação do denunciante para a apuração dos fatos, uma prática já adotada em questões relacionadas às relações trabalhistas e infrações tributárias, por exemplo.
Em caso de fiscalização, as empresas (Agentes de Tratamento) terão o dever de: fornecer cópia de documentos, permitir o acesso às instalações e recursos tecnológicos, possibilitar que a ANPD tenha conhecimento dos sistemas de informação utilizados, submeter-se a auditorias e demais ações.
O não cumprimento dessas medidas poderá caracterizar obstrução à atividade de fiscalização, sujeitando o infrator à adoção das medidas repressivas e impositivas por parte da ANPD.
Entende-se por obstrução à atividade de fiscalização o ato, comissivo ou omissivo que impeça, dificulte ou embarace a atividade de fiscalização. Ou seja, o mero não envio de quaisquer dados e informações solicitados podem caracterizar a obstrução.
Daí a importância de gestores e empresas estarem conscientes de princípios básicos da LGPD, como a ‘responsabilização e prestação de contas’, ‘prevenção’, ‘segurança’, ‘qualidade dos dados’ etc.
Lembra-se que o processo administrativo tramitará por meio eletrônico, desde o peticionamento do Titular ou denunciante, à comunicação dos atos processuais, passando por vídeo conferência e envio de documentos, o que tornará a tramitação mais rápida e transparente.
Como se prevenir à fiscalização: descomplicando a Dosimetria das sanções
Por mais bem preparada que esteja, qualquer organização está sujeita a denúncias e incidentes relacionados aos dados pessoais.
A adoção de Políticas e Regras de Boas Práticas e de Governança, bem a estruturação de Programa de Governança em Privacidade – previstos na LGPD – são essenciais para atenuar os riscos e, consequentemente, os efeitos de uma ação fiscalizatória.
Como se depreende da LGPD, desde sua a publicação, as sanções administrativas compreendem: advertências, multas, publicização da infração, bloqueio ou eliminação dos dados pessoais, suspensão do funcionamento do banco de dados e até do exercício da atividade relacionada ao tratamento dos dados pessoais, dentre outros.
A aplicação de tais penalidades está relacionada à adoção de políticas de boas práticas e governança, mencionadas acima, e elementos como cooperação, reincidência, pronta adoção de medidas corretivas etc.
Quanto às infrações, são classificadas em leve, média ou grave:
- A infração será considerada leve por exclusão, ou seja, quando não verificada nenhuma das infrações médias ou graves.
- A infração média ocorre quando puder afetar direitos fundamentais dos Titulares de dados pessoais, como a utilização de um serviço ocasionando danos materiais ou morais aos titulares, inclusive quando envolver violação ao direito de imagem, reputação, fraudes financeiras e uso indevido de identidade.
- Já a infração grave se aplica quando cumular uma infração média e, pelo menos uma das seguintes hipóteses constantes no art. 8º, § 3º, do Anexo à Resolução CD/ANPD nº 4/2023:
a. Tratamento de dados pessoais em larga escala;
b. O infrator auferir ou pretender auferir vantagem econômica em decorrência da infração;
c. Implicar risco à vida dos titulares;
d. A infração envolver dados sensíveis ou de dados pessoais de crianças, adolescentes ou idosos;
e. Tratamento de dados pessoais sem amparo em uma das hipóteses legais previstas na LGPD;
f. Tratamento com efeitos discriminatórios ilícitos ou abusivos; ou
g. A adoção sistemática de práticas irregulares pelo infrator.
Também será considerada grave a obstrução da atividade de fiscalização, entendidas como ato ou omissão que impeça, dificulte ou embarace o procedimento.
Além dessas classificações, existem circunstâncias agravantes e atenuantes que podem elevar ou reduzir o valor das multas pecuniárias.
Como se vê, o caminho da prevenção é sempre melhor, e permite o dimensionamento dos riscos e medidas de mitigação dos danos.
De um modo geral as grandes empresas já fizeram seu “dever de casa”, mas ainda se vê muitas pequenas e médias empresas alheias ao tema, em compasso de espera. Talvez uma espera que pode custar demais.
0 comentários