voltarIntrodução
Após a publicação de consulta pública sobre o tema, a Autoridade Nacional de Proteção de Dados (ANPD)[1] aprovou, em 28 de outubro de 2021, o Resolução CD/ANPD nº 1 com relação à fiscalização e aplicação de sanções administrativas pela ANPD (a “Resolução”).
Utilizando uma metodologia de regulação responsiva, a Resolução apresentou detalhes em relação às ações de fiscalização da ANPD (artigo 15 e seguintes), incluindo as atividades de monitoramento (artigo 18), orientação (artigo 27) e prevenção (artigo 30), bem como atividades repressivas (artigo 37). Apesar da Resolução não ter estabelecido expressamente que as medidas preventivas serão consideradas prioritárias em relação às atividades repressivas, destacou o papel da ANPD em incentivar os agentes de tratamento no cumprimento da LGPD, auxiliando tais agentes a entenderem as mudanças introduzidas pela LGPD.
As Quatro Etapas das Atividades de Fiscalização da ANPD
As atividades de fiscalização da ANPD incluem quatro etapas: (i) atividades de monitoramento, (ii) atividades de orientação, (iii) atividades preventivas, e (iv) atividades repressivas. Tais atividades poderão ser implementadas por iniciativa da ANPD ou mediante solicitação de terceiros, tanto em programas periódicos realizados pela ANPD, quanto em coordenação com outros órgãos e entidades públicas ou em cooperação com autoridades internacionais de proteção de dados.
Quanto à coordenação entre a ANPD e outros órgãos governamentais, a ANPD já assinou acordos de cooperação técnica com a Secretaria Nacional do Consumidor (SENACON), em março de 2021, e com o Conselho Administrativo de Defesa Econômica (CADE), em junho de 2021. Esses acordos objetivam alinhar esforços e fortalecer as atividades de fiscalização para a proteção dos dados pessoais dos consumidores, inclusive contra incidentes de segurança e atividades que possam prejudicar a ordem econômica.
Além da orientação quanto à atuação da ANPD, a Resolução estabelece deveres específicos a serem observados por agentes de tratamento e demais interessados. Estes incluem não obstruir as ações de fiscalização da ANPD, fornecer documentos quando solicitado, permitir o acesso às suas instalações, equipamentos e sistemas, permitir que a ANPD realize auditorias, manter documentação específica e disponibilizar um representante para apoiar a ANPD em suas ações de fiscalização. As atividades realizadas pela ANPD estão sujeitas à Lei de Acesso à Informação (Lei nº 12.527/11) e, portanto, em regra, não são confidenciais. Se a ANPD coletar qualquer informação relacionada a um agente de tratamento ou interessado, o referido agente deverá solicitar o sigilo de suas informações. No entanto, o Resolução não estabelece expressamente em que circunstâncias a ANPD aceitará pedidos de sigilo.
Atividades de Monitoramento
A atividade de monitoramento tem por objetivo levantar informações e dados relevantes para apoiar tomadas de decisão pela ANPD e garantir o cumprimento regular da LGPD pelos agentes de tratamento. A ANPD acompanhará periodicamente como as empresas tratam dados pessoais, e o primeiro ciclo de monitoramento começará em janeiro de 2022.
A Resolução cria dois instrumentos de monitoramento para apoiar a autoridade na aplicação estratégica da LGPD: o Relatório do Ciclo de Monitoramento e o Mapa de Temas Prioritários. A Resolução também estabeleceu diretrizes iniciais para a análise das solicitações de titulares de dados. O Relatório do Ciclo de Monitoramento é descrito como um mecanismo de prestação de contas e planejamento para a atividade de fiscalização da ANPD. Ele auxiliará a Autoridade na avaliação de suas atividades de fiscalização dentro do ciclo de monitoramento, com base em indicadores concretos e resultados obtidos no período anterior, direcionando as estratégias e diretrizes de seu desempenho e a consolidação das informações obtidas no período. O Mapa de Temas Prioritários, por sua vez, será emitido a cada dois anos e estabelecerá os temas prioritários para estudar e planejar as atividades de execução do período, com base no risco, gravidade e importância do assunto.
De acordo com a ANPD, a expectativa com a promulgação da Resolução é que a Autoridade possa utilizar esses instrumentos para (i) planejar e subsidiar atividades de inspeção com informações relevantes, (ii) analisar a conformidade dos agentes de tratamento em relação à proteção de dados pessoais, (iii) considerar o risco regulatório com base no comportamento dos agentes de tratamento, de forma a alocar recursos e adotar ações compatíveis com o risco, (iv) prevenir práticas irregulares, (v) fomentar a cultura de proteção de dados pessoais, e (vi) corrigir práticas irregulares e reparar ou minimizar quaisquer danos.
Atividades de Orientação
A ANPD promoverá medidas de orientação com o objetivo de guiar, conscientizar e educar agentes de tratamento, titulares de dados pessoais e outras partes que possam ter interesse no tratamento de dados pessoais. As medidas de orientação incluem a (i) elaboração de guias de boas práticas e modelos de documentos a serem utilizados pelos agentes de tratamento, (ii) sugestão para a realização de treinamentos e cursos, (iii) disponibilização em plataformas públicas de ferramentas de autoavaliação de conformidade, (iv) disseminação de boas práticas e regras de governança, e (v) recomendação de utilização de padrões técnicos para permitir que os titulares de dados exerçam controle sobre seus dados, recomendações de implementação de programas de governança em privacidade, e recomendações de observância de códigos de conduta e boas práticas estabelecidos por organismos de certificação ou outra entidade responsável.
Medidas Preventivas
As medidas preventivas baseiam-se na construção conjunta e dialogada de soluções e ações para evitar ou remediar situações que possam causar riscos ou danos a titulares de dados pessoais e outros agentes de tratamento.
As medidas de prevenção da ANPD incluem (i) a divulgação de informações e dados setoriais agregados e de desempenho, (ii) aviso contendo a descrição da situação e informações suficientes para que o agente de tratamento identifique as medidas necessárias, (iii) solicitação de regularização e informe, em casos cuja complexidade não justifique a elaboração de um plano de conformidade, e (iv) requisição de um plano de conformidade, o qual deve incluir o objeto, prazos, ações planejadas, critérios de acompanhamento e a trajetória para a obtenção dos resultados esperados. As medidas aplicadas durante a atividade preventiva não constituem sanção à entidade fiscalizada. No entanto, o não cumprimento do plano de conformidade fará com que a ANPD progrida para uma ação repressiva, sendo considerado fator agravante caso seja instaurado um procedimento administrativo sancionador.
Atividades Repressivas
As atividades repressivas da ANPD também estão previstas na Resolução, nos termos do artigo 55-J, IV da LGPD. A atividade repressiva caracteriza a ação coercitiva da ANPD, visando interromper situações de dano ou risco, recondução do agente ao pleno cumprimento da LGPD e imposição das sanções aplicáveis previstas no artigo 52 da LGPD por meio de processo administrativo sancionador.
A Resolução estabelece os princípios que devem ser observados pela ANPD na condução do processo administrativo sancionador, incluindo, dentre outros, os princípios da legalidade, finalidade, motivação, razoabilidade, proporcionalidade, moderação, direito de defesa, interesse público e eficiência. Ela também prevê a estrutura e prazos aplicados ao processo administrativo.
A Coordenação-Geral de Fiscalização (CGF) é a primeira instância para a condução de ações repressivas, responsáveis por iniciar averiguações preliminares, diligências e procedimento sancionador. A Resolução prevê que o agente de tratamento tem o direito de apresentar uma proposta de celebração de termo de ajustamento de conduta após a instauração do processo sancionador. Se aceito, o processo é arquivado. Caso contrário, o agente de tratamento terá 10 (dez) dias úteis para apresentar sua defesa. Nesse sentido, ter um plano de ação concreto para auxiliar na elaboração de uma resposta adequada à denúncia é fundamental para se adequar a um prazo tão curto. Após a decisão proferida pela CGF, o agente processante poderá interpor recurso no prazo de 10 (dez) dias úteis a partir do recebimento da intimação da decisão, que será julgado pelo Conselho Diretor, última instância do processo administrativo sancionador. As possíveis sanções previstas na LGPD incluem advertência, divulgação da infração, multas pecuniárias, bloqueio, proibição e suspensão das atividades de tratamento de dados.
Conclusão
No 1º aniversário da ANPD, a publicação da Resolução demonstra que a ANPD está trabalhando em consonância com seu planejamento estratégico e promovendo um cenário razoável de proteção de dados no Brasil. A Resolução valoriza adequadamente as ações educativas e preventivas, não deixando dúvidas de que a aplicação de multa será utilizada gradualmente, dependendo do comportamento do agente de tratamento, quando a orientação da ANPD e as medidas preventivas não forem suficientes para garantir o cumprimento da LGPD.
A Resolução carece de regras e critérios para a aplicação de penalidades, particularmente no que diz respeito ao cálculo de multas pecuniárias e circunstâncias agravantes ou atenuantes. Portanto, a ANPD ainda é incapaz de aplicar sanções pecuniárias, pois ainda precisa promulgar uma resolução definindo “as metodologias que orientarão o cálculo do valor-base das sanções de multa” (Artigo 53 da LGPD).
Vale lembrar, no entanto, que a ANPD não é o único órgão governamental com poderes para impor sanções relativas ao tratamento de dados pessoais no Brasil. A Resolução e a LGPD não limitam a capacidade dos órgãos de defesa do consumidor de aplicar outras sanções administrativas, cíveis ou penais, como as definidas na Lei nº 8.078/1990 (Código Brasileiro de Defesa do Consumidor – CDC) ou outras legislações específicas. Nesse sentido, a SENACON, os Programas de Proteção e Defesa do Consumidor (Procons) e o Ministério Público do Distrito Federal e Territórios (MPDFT) também vêm adotando uma posição proativa na aplicação de sanções por violação de normas de proteção de dados desde antes da entrada em vigor da LGPD (vide, por exemplo, MPDFT vs. Serasa, Procon vs. Raia Drogasil, Procon vs. Facebook, Senacon vs. Banco Itaú Consignado, e IDEC vs. Hering).
[1] Nos termos do artigo 5º, inciso XIX, da LGPD, a ANPD é um órgão responsável por garantir, implementar e supervisionar a conformidade com a LGPD.
compartilhe
