Por Patricia Peck Pinheiro, sócia-fundadora do Peck Advogados e professora de Direito Digital da ESPM e Lucas Kizan, advogado nas áreas de Governança de Proteção de Dados, Núcleo DPO e Segurança da Informação no Peck Advogados
Em 1996, por ocasião do Fórum Econômico Mundial, o ativista chamado John Perry Borlow leu carta aberta que ficou conhecida como “Declaração de independência do ciberespaço”. Em seu manifesto, Borlow defendia uma natureza autorregulatória da web, em que os próprios usuários iriam definir os melhores caminhos para esse espaço de convívio imaterial e onipresente, sem a mão estatal.
Anos mais tarde, a crença de que a internet estava se tornando uma “terra sem lei” se fortaleceu. Cyberbullying, Sextorsão, Ransomware, Fake News e constantes vazamentos de dados passaram a ocupar as manchetes e a fazer parte de um cotidiano cada vez mais distópico e real.
Os ilícitos perpetrados por meio da web ou exploram vulnerabilidades técnicas, ou comportamentais. Estas últimas normalmente ligadas a problemas de educação digital, que por sua vez evidenciam desconhecimentos sobre cuidados com a privacidade ou trazem questões mais profundas relacionadas à ética digital.
Em geral, o modelo de Estado de Direito é definido para trazer proteção às garantias constitucionais, imputando direitos e obrigações aos cidadãos e instituições, com adoção de um regime que visa equilibrar os poderes constituídos entre Executivo, Legislativo e Judiciário. Tendo em vista o avanço rápido das novas tecnologias, hoje há um grande desafio em se conseguir acompanhar a velocidade das inovações, estimular o desenvolvimento econômico e social, e ao mesmo tempo manter a segurança jurídica das relações.
Dados pessoais se tornaram ativos
Dentro desta lógica, dados pessoais se tornaram importantes ativos, e quem os explora deve seguir um arcabouço legal de princípios e melhores práticas que permitam atuar com transparência, legitimidade e proteção das informações sobre os titulares, definidas em novas regulamentações nacionais (Lei 13.709/2018 – LGPD) e internacionais (GDPR e outras).
Sendo assim, no Brasil, desde 2018, tanto o setor público como privado estão no processo de implementação da nova legislação. Como parte deste programa, faz parte interagir com a nova Autoridade Nacional de Proteção de Dados (ANPD), que, desde 2021, passou a publicar Resoluções para regulamentar a lei, bem como iniciou em 2022 a fiscalização.
Resolução de dosimetria das sanções
Dentre as mais recentes está a n. 04/2023, que trata sobre a resolução de dosimetria das sanções, ou seja, estabeleceu critérios para aplicação de punições a infratores. Trata-se de um marco importante para trazer eficácia às normas de privacidade no Brasil.
Os destaques da resolução são:
- a classificação de sanções por nível de gravidade;
- a regra para sancionamento de grupos econômicos;
- a estipulação de agravantes e atenuantes;
- hierarquização de sanções e;
- a instituição de sistema de proporcionalidade.
A normativa permite maior adequação da sanção ao caso concreto, além de deixar claro que a prevenção ainda é a melhor forma de evitar problemas com a ANPD. Possuir programa de privacidade por si só já pode reduzir em até 20% o valor de eventuais multas.
Portanto, percebe-se que até mesmo a adequação à lei após denúncia e durante o processo de apuração pode atenuar drasticamente o peso sancionatório. Por outro lado, a inobservância reiterada da lei pode gerar agravamento sancionatório, e resultar até mesmo em proibição de atividades de tratamentos de dados pessoais e multas de até 50 milhões de reais.
Grau das infrações
| Grau da infração | Aplicabilidade |
| Leve | Aplicação residual |
| Média | Quando puder afetar significativamente interesses e direitos fundamentais dos titulares de dados pessoais, caracterizada nas situações em que a atividade de tratamento puder impedir ou limitar, de maneira significativa, o exercício de direitos ou a utilização de um serviço, assim como ocasionar danos materiais ou morais aos titulares, tais como discriminação; violação à integridade física; ao direito à imagem e à reputação; fraudes financeiras ou uso indevido de identidade, desde que não seja classificada como grave. |
| Grave | Infração média cumulada com:a) envolver tratamento de dados pessoais em larga escala, caracterizado quando abranger número significativo de titulares, considerando-se, ainda, o volume de dados envolvidos, bem como a duração, a frequência e a extensão geográfica do tratamento realizado; b) o infrator auferir ou pretender auferir vantagem econômica em decorrência da infração cometida; c) a infração implicar risco à vida dos titulares; d) a infração envolver tratamento de dados sensíveis ou de dados pessoais de crianças, de adolescentes ou de idosos; e) o infrator realizar tratamento de dados pessoais sem amparo em uma das hipóteses legais previstas na LGPD; f) o infrator realizar tratamento com efeitos discriminatórios ilícitos ou abusivos; ou g) verificada a adoção sistemática de práticas irregulares pelo infrator. |
Experiência internacional e sanções
Ao olhar para a experiência internacional, nota-se que as principais medidas adotadas por autoridades estrangeiras têm sido a aplicação de sanção pecuniária. Dependendo do país, vão de multas menores, no estilo “presta atenção”, até às multas milionárias, podendo chegar a valores muito elevados quando o cálculo recai sobre o faturamento total do grupo econômico, o que também foi previsto pela regulamentação brasileira.
A recente divulgação por parte da ANPD dos processos sancionatórios em curso mostra que a Autoridade está agindo para coibir infrações à lei, e o início da aplicação de sanções é mera questão de tempo.
A maturidade regulatória brasileira quanto à proteção de dados está avançando e transmitindo uma mensagem clara: não somos terra sem lei. Contrariar as regras pode custar muito caro, não apenas financeiramente, mas principalmente em termos de reputação.
Para concluir, melhor prevenir do que remediar. Investimentos em cultura organizacional, governança de dados, soluções técnicas de segurança e políticas claras tornam uma empresa atrativa, seja para os clientes, para o mercado e até para os talentos profissionais.
Fonte: Tech Compliance