Os parâmetros e critérios para aplicação de multas da LGPD (Lei Geral de Proteção de Dados Pessoais) foram finalmente definidos, após dois anos de vigência da lei, e inúmeras ações para garantir o cumprimento da regulamentação de proteção de dados no Brasil.
Por Patricia Peck, sócia-fundadora do Peck Advogados e professora de Direito Digital da ESPM e Lorena Botelho, sócia do Peck Advogados.
No último dia 24 de fevereiro, por conta da Resolução nº 4, a Autoridade Nacional de Proteção de Dados (ANPD) estabeleceu as regras para o cálculo dos níveis de gravidade relacionados ao vazamento de dados e outras violações de dados pessoais, para iniciar a execução das sanções administrativas, que faltava ponto para aplicar as multas.
O objetivo principal de estabelecer uma abordagem dosimetria visa apontar critérios de proporcionalidade entre a infração e a medida adotada pela ANPD, que inclui três níveis de penalidade para uma infração, de acordo com a gravidade. Também estabelece circunstâncias agravantes e atenuantes que serão levadas em conta na obtenção de uma multa, bem como uma fórmula matemática para avaliar o valor das multas aplicadas.
No entanto, pretendiam ser eficazes, proporcionais e dissuasivos, e serão decididos caso a caso. As implicações práticas são possibilitar o início de penalidades pela ANPD.
Desde que a lei entrou em vigor, em setembro de 2020, há muitos casos sendo conduzidos pelos procedimentos administrativos da Autoridade – já foram mais de sete mil denúncias relacionadas à violação de dados pessoais até março de 2023 último relatório da ANPD. Por se tratar de uma lei extremamente detalhada, as instituições vêm se preparando de formas muito diferentes para esse momento. Tradicionalmente no Brasil, a efetividade da lei só acontece com a possibilidade de aplicação de multa.
Trata-se de um grande avanço para alcançar uma cultura de privacidade e proteção de dados no Brasil. Aqueles que já haviam implementado programas de segurança devem rever as normas e procedimentos, atentando-se a possíveis atualizações. Para quem ainda não começou, está mais do que na hora de investir em ações de adequação à LGPD.
DETALHES DA RESOLUÇÃO #4
É importante ressaltar que a Resolução nº 4 é aplicável tanto para infrações anteriores à data de sua publicação quanto para infrações futuras, o que significa que os processos administrativos já em andamento perante a ANPD terão como base as normas publicadas. A partir de agora espera-se que sejam proferidas as primeiras decisões sobre sanções, incluindo a publicação de infrações – conforme previsto no artigo 52 da LGPD.
Outro ponto de atenção é que alguns conceitos não estavam bem definidos, o que pode gerar uma tendência à judicialização de suas decisões – como no caso de infrações graves. Havia uma expectativa de maior objetividade, mas a ANPD acabou não fornecendo uma definição mais detalhada do que é considerado processamento em larga escala, deixando uma definição subjetiva, como número significativo de usuários e volume de dados, sem parâmetros mais assertivos. A norma fala em um “número significativo de titulares de dados afetados”. Mas não estipula um percentual da base total de titulares de dados.
Um aspecto positivo foi a previsão de audiência de outros reguladores do setor no momento da instrução, o que reduziu o risco de entendimentos divergentes e aumentou o alinhamento entre as autoridades. Caso contrário, há uma grande preocupação relacionada à possível aplicação de multas calculadas considerando a receita total do Grupo Econômico das Empresas.
Agências reguladoras, como Cade (Conselho Administrativo de Defesa Econômica), Anatel (Agência Nacional de Telecomunicações), Aneel (Agência Nacional de Energia Elétrica), serão ouvidas nos processos de empresas cujos setores são regulados, já que um mesmo caso pode ter interpretações diferentes. Mas a ANPD continua tendo a prioridade de conduzir e decidir, e vai ouvir a entidade sobre os impactos de uma sanção no mercado.
Vale ressaltar também que a política de melhores práticas gera fatores atenuantes. Por exemplo, é possível ter um desconto de multa de até 20% se for demonstrada a aplicação das melhores práticas de governança. Muitas empresas começaram a implementar seus programas de Privacidade e Proteção de Dados desde 2018, mas com o passar do tempo acaba havendo um certo arrefecimento ou até mesmo interrupção ou falta de continuidade das ações. Por isso, é de extrema importância atualizar o Programa LGPD e manter ativo o Comitê de Privacidade, papel que costuma ser desempenhado pelo Data Protection Officer (DPO).
Portanto, um dos resultados esperados com a valorização das medidas de governança como mitigação é contribuir para que os DPOs ganhem espaço, relevância, prioridade na agenda executiva, orçamentária, para que deem continuidade ao programa de compliance. Além de ter que cumprir a LGPD, torna-se um bom escudo diante de uma fiscalização. Para isso, é necessário manter campanhas educativas, comitê de proteção de dados, reuniões periódicas e gerar atas. É um programa em andamento, não um projeto.
Fonte: INPLP