A primeira sanção deve ocorrer nos próximos três meses; autarquia tem outras 6 mil denúncias na fila. Mas os processos vão correr em sigilo até a decisão da diretoria da ANDP, diz o presidente Waldemar Gonçalves Ortunho Júnior.
Damião Oliveira*
Foi com oito processos em fase final e outras 6 mil denúncias na fila que a Autoridade Nacional de Proteção de Dados (ANPD) concluiu a norma que define as punições cabíveis pelas violações à Lei Geral de Proteção de Dados (LGPD) – o chamado “regulamento de dosimetria”. A princípio, os alvos de apuração não serão divulgados até que o processo seja concluído, caso contrário, seria uma “punição precoce”, diz o presidente, Waldemar Gonçalves Ortunho Júnior.
COMO SERÁ A DINÂMICA?
O presidente da ANPD detalha a dinâmica que será utilizada para analisar as denúncias que já chegaram à autoridade. Inicialmente, elas passarão por uma classificação de risco para identificar as mais graves e agilizar o procedimento, mas isso não quer dizer que nas denúncias com menor risco não será realizado o devido processo investigatório. A primeira sanção deve ser concluída nos próximos três meses, dentre os oito processos que já estão em fase final de análise.
Com a finalidade de dar mais transparência à atuação, a autoridade pretende transmitir online as reuniões deliberativas, como hoje é feito no legislativo, judiciário e em algumas autarquias como na ANS, ANVISA, porém, ainda sem previsão exata de quando começar.
PUBLICIZAÇÃO
A LGPD foi aprovada em 2018 e entrou em vigor em 2020. Nós já tivemos dois anos de carência, justamente para todos os setores e órgãos públicos já começarem a se adequar neste momento. Após passar a valer em 2020, a ANPD só foi criada em novembro. Como a ação da ANPD demanda de ferramentas de Regimento Interno, nós tivemos mais uma carência, que foi exatamente a capacitação da ANPD.
Para o sancionamento, a própria lei já tinha uma previsão de que a partir de 1º de agosto de 2021. Mas ainda nos faltava a última ferramenta, que deu a musculatura, que foi a dosimetria. Então, agora nós temos uma musculatura para completar esse processo de sancionamento.
PUNIÇÃO MAIS BRANDA NESTE PRIMEIRO MOMENTO?
As sanções leves, sem reincidências, estas sim, deverão ter medidas mais educativas, uma advertência, algo assim. Já aquela sanção mais grave e média, nós temos um titular de dados e esse é o nosso principal objetivo: a proteção do titular e dos seus direitos fundamentais.
“Uma vez concluído o processo, torna-se totalmente público e todos terão acesso. Nós temos esse sigilo agora porque uma das sanções que nós temos é a publicização. Eu acho que é algo extremamente importante para uma empresa, ela constrói sua reputação e para a desconstrução é uma coisa rápida.”
O simples fato de estarmos citando: ‘Olha, uma das oito empresas que estão aguardando a dosimetria é a empresa “X”‘, já seria uma punição prematura desta empresa “X”. Mas isso a ANPD levou para a Procuradoria Federal Especializada (PFE) para analisar essa proteção jurídica.
ACORDOS DE COOPERAÇÃO TÉCNICA
Já foi iniciado um acordo de cooperação técnica com a CGU, pois existe sinergia na LGPD e LAI (Lei de Acesso à Informação), que são complementares e, em algum caso concreto que gere alguma dúvida, os órgãos passarão a se reunir para um enunciado comum.
O que chamamos de titular de dados, o Procon chama de consumidor. Então, os dois órgãos têm a mesma finalidade de proteção. Depende de onde vai vir uma denúncia. Então, muitos ainda não conhecem a ANPD e dão entrada em um processo por meio do Procon ou dos dois órgãos.
O Procon está no âmbito estadual e a ANPD está no âmbito federal, mas essa atuação de cooperação existe sem formalização (termo) assinado, diferentemente do SENACON, CADE e MPF que existe termo formalizado. Mesmo com sua independência de atuação, o Procon sempre recorre em algumas oportunidades para esclarecer dúvidas sobre o tema. É uma parceria que sempre estará aberta para uma ação em conjunto ou separada.
REINCIDÊNCIA
Em 1° de agosto de 2021, quando as sanções entraram em vigor, foi realmente uma data importante. No entanto, houveram algumas violações à LGPD que ocorreram anteriormente e continuaram caracterizando então um ato contínuo. Isso deverá ser considerado pela fiscalização. Quer dizer: alguma coisa que aconteceu atinge um titular, e essa ação não foi interrompida pelo controlador mesmo depois do 1º de agosto.
Como os processos começaram agora, e a reincidência envolve cinco anos, ela entra depois que tem alguma sanção. E existem 2 tipos de reincidência: a reincidência “específica”, que é quando aquela mesma infração ocorre novamente, ou aquela “genérica” que o controlador continua em inconformidade mesmo que em fatos distintos. Uma infração cometida em data anterior à primeira sanção, por exemplo, poderá ser considerada reincidência, pois eles serão analisados quando o caso for concreto, tendo todo o processo investigatório e consulta à PFE (Procuradoria Federal Especializada) para não gerar risco jurídico.
DIREITO FUNDAMENTAL
Algumas entidades criticaram o fato de as violações a direitos fundamentais estarem previstas como passíveis da classificação de gravidade “média”. Mas quando você deixa de entrar em conformidade com a LGPD e infringe um direito fundamental, a ANPD vê que é uma ação grave. Mas se fossem classificadas todas as ações como graves não precisaria nem de dosimetria, seria alguma coisa única.
Então, esta classificação leva em consideração o dano que aquela infração cometeu. Eu posso ter um vazamento de dados que não deveria ocorrer, mas ocorreu, não causou nenhum dano ao titular, e outro que causou algum desconforto – pode ser um dano financeiro ou algum constrangimento. Então, essa classificação é justamente para que seja aplicada uma dose proporcional à gravidade do dano causado ao titular.
Inclusive, o conceito de boa-fé poderá ser observado se uma empresa teve um incidente de dados. Logo que detectou isso, a empresa comunicou à ANPD e já comunicou o titular para mitigar os riscos e danos. Então, você está vendo uma boa-fé, uma boa prática da empresa e política de governança. Tudo isso será considerado atenuante para a sanção, mesmo que seja claro uma violação de um direito fundamental.
DADOS TRATADOS EM LARGA ESCALA
A ANPD entende que não vai ser mais um ou menos um titular afetado que vai alterar a classificação de larga escala ou não. Vai ser considerado no caso concreto e isto ao longo do tempo vai gerar uma jurisprudência e a própria definição desses valores.
Uma das ferramentas que a ANPD utiliza é uma prática da OCDE (Organização para a Cooperação e Desenvolvimento Econômico), chamada avaliação de riscos regulatórios. Está sendo usada a norma, mas o que está sendo avaliado é se a norma atingiu o resultado que desejávamos. Então, pode ser que daqui a algum tempo a gente defina um valor do que vai ser considerado larga escala.
O amadurecimento da norma virá com a experiência de acontecimentos, porque quanto mais processos analisados, mais maduro fica o regulamento, porém não adianta ter mil novos servidores e isso vai causar um caos para a organização. Ainda não tem estrutura para tantos, não tem espaço físico, não tem computadores para receber. Então, é um passo que a gente quer fazer, um passo intermediário, de acordo com a capacidade que nós temos para assumir.
E tem a diferença entre norma e guia. O guia sim tem várias atualizações, mas a nossa norma foi bem pensada, ela teve todo aquele processo de tomada de subsídios, em que a gente coletou tudo o que era possível. Foi construído um primeiro texto, teve a consulta pública, foram surpreendentes 2.504 contribuições. Então, a ANPD entende que a norma de sanções está bem madura, mas não está imune a ter algum realinhamento.
FISCALIZAÇÕES EM PRIORIDADE
Das 6 mil denúncias que chegaram, foi feita a leitura e a classificação. A ANPD não irá tratar nada individualmente, seria praticamente inviável com a equipe atual fazer isto. Então, elas foram classificadas e, nas denúncias que têm maior gravidade à sociedade, foi feito um esforço para a análise, e será desta forma que a ANPD vai agilizar o andamento.
O ideal para a fiscalização é ter mais processos correndo em paralelo. Então, quando chegar a denúncia, tem alguém aqui penalizando, mas pode chegar uma outra denúncia e não tem ninguém disponível. Então, esse fortalecimento de time da ANPD é interessante justamente na fiscalização.
“Este início de ano, com a mudança de governo, teve uma procura grande pela ANPD. Então, estão sendo feitas diversas entrevistas, vendo os diversos currículos e acreditando que o time possa ser engordado. Nós já temos mostrado isso aos diversos órgãos, da necessidade de que a ANPD agora trabalhe. A gente já montou toda a estrutura, agora é trabalho e, para isso, nós temos que ter pessoas.”
Então, já apresentamos esta demanda e acreditamos que será considerada e deve gerar até mesmo um concurso público. Essa mão de obra é necessária para aumentar essa produtividade. Claro que, em um concurso, após o lançamento, até chegar o primeiro concursado leva um tempo. E chegando os concursados, precisa fazer uma parte essencial que é a capacitação. Ainda não existe uma carreira de proteção de dados no governo, isso a ANPD consegue capacitar o nosso servidor.
LGPD PENAL
Sabemos que é um tema que compete ao Congresso, mas a lei dá margem para que a ANPD possa intervir. A própria lei já prevê que a ANPD será ouvida em algum momento. Então, qualquer texto relativo à proteção de dados, o congresso é procurado. Já tem um anteprojeto tratando de LGPD Penal, então, a ANPD já trouxe o texto. Existe uma equipe já avaliando os pontos de atenção e, a partir daí, a equipe deve procurar o Congresso, o relator do PL e conversar.
Cabe ressaltar que não se pode deixar a coisa acontecer para poder atuar. Desde o início, a ANPD está atuando, mesmo não tendo uma assessoria parlamentar. Mas a ANPD entende a importância do fato e a nossa Coordenação-Geral de Relações Institucionais passa a abarcar esse tema e enviar ao Congresso.
Por exemplo, as plataformas digitais são um tema que a ANPD trouxe para a última reunião e, provavelmente ,deverá ser montado um grupo de trabalho para atuar nesse tema também, pois é extremamente importante. Onde tiver dados pessoais, a ANPD precisa ser inserida, independente da solução de estrutura.
A finalidade da discussão neste GT (grupo de trabalho) é ver onde a proteção de dados pode ser relativa às plataformas digitais e a ANPD já possuir pessoas especializadas para quando surgir algum grupo, por exemplo, no Congresso, já ter um time capacitado para fazer a defesa relativa aos dados pessoais.
Por fim, a dosimetria trouxe a robustez necessária para que as sanções pecuniárias da LGPD sirvam de incentivo para as empresas se prepararem e se adaptarem às novas regras e regulamentações da LGPD. Com a ameaça de multas significativas, as empresas são incentivadas a investir em segurança de dados, treinamento de funcionários, revisão de políticas e práticas internas, e a adotar uma abordagem mais proativa em relação à proteção de dados pessoais.
Fonte: Tele Síntese/ANPD
Leia outros artigos do autor:
Antes de criar seu avatar, leia este artigo
ANPD divulga novo formulário para incidentes de segurança – CIS
PARTE I – Como proteger dados na hotelaria
PARTE II – Boas práticas para segurança hoteleira
Damiao Oliveira: Atua há mais de 26 anos na Área de Tecnologia, mais de 16 anos como Instrutor do Sistema “S”, mais de 03 anos com Direito Digital, atualmente é Encarregado de Dados em mais de 30 empresas de tamanhos e segmentos diferentes, Jornalista e Responsável pelo Portal de Notícias da ANPPD (DRT 6688/SC), possui Certificação Cisco CyberSecurity | CyberOps | IoT Security, Certificação em Análise de Segurança e Privacidade – IBSEC, Membro Comitê de Privacidade e Proteção de Dados – OAB/SP, Vice Representante Estadual em SC da ANPPD pelo Comitê de Segurança, possui Formação em Computação Forense – UNIVALI, Graduado em Análise de Sistemas – UVA, Graduado em IA & Big Data – UNIASSELVI e atualmente cursando Análise Forense e Perícia Criminal – UNIASSELVI.