LGPD e sanções administrativas: momento de instruir, e não de punir

Há diversos marcos normativos relevantes na história da privacidade e da proteção de dados pessoais ao redor do mundo (e no Brasil), acompanhando a dinamicidade dos anseios sociais e visando a gerar a necessária segurança jurídica para um sólido crescimento de uma economia cada vez mais digital e baseada em dados.

Importante lembrar que a LGPD é uma legislação de suma importância para a almejada segurança jurídica das organizações, ao harmonizar e atualizar conceitos (antes esparsos) em outras normas setoriais. É um "mapa" a ser seguido que busca o uso ético, responsável e seguro dos dados pessoais. Aumenta também a possibilidade de investimentos estrangeiros, pois seguimos o robusto modelo do Regulamento Geral de Proteção de Dados da União Europeia (RGPD), estando ao lado de centenas de países com normas correlatas. Isto é, investidores do exterior sabem o nível de legislação que abarcamos.

Ainda, quanto maior a conscientização da sociedade sobre privacidade e proteção de dados, maior será a cobrança por um tratamento ético, transparente e seguro. E se dado é a moeda da economia digital — e nós, como indivíduos, ao sabermos que o tratamento dos nossos dados representa praticamente uma extensão da nossa personalidade, só compartilhamos nossas informações com quem confiamos —, cumprir a LGPD é uma questão de competividade.

Referidas sanções são de competência da Autoridade Nacional de Proteção de Dados (ANPD), órgão criado há menos de um ano, que, além da função fiscalizatória, também é responsável pela regulamentação da LGPD.

A linha que a ANPD vem seguindo em suas manifestações públicas e seus documentos oficiais, que aumentam a confiança do mercado, é de priorização de um engajamento construtivo com a iniciativa privada. Isso significa que, em vez de inquisição e sanção, dar prioridade a diálogo, apoio, mútua cooperação, orientação, conscientização e informação; bem como estimular relações abertas e construtivas com negócios que lidem com dados pessoais, primando pela boa-fé das empresas e nos seus esforços em cumprir a lei; além de enfatizar que empresas se esforcem em agir de forma responsável, são atitudes altamente encorajadas. Assim, essas empresas apresentam seus programas de privacidade, segurança da informação, códigos de conduta e gerenciamento de risco, visando a gerar o reconhecimento do mercado por suas boas práticas, incluindo certificações, entre outros padrões de accountability.

Ademais, ao que tudo indica, a norma de fiscalização e aplicações de multas corretamente seguirá  um modelo responsivo, privilegiando: atuação baseada em evidências e gestão de riscos, com foco e orientação para o resultado; adoção de medidas proporcionais ao risco identificado e à postura dos administrados; estímulo à conciliação direta entre as partes e priorização da resolução do problema e da reparação de danos pelo agente de tratamento; mecanismos de transparência, de retroalimentação e de autorregulação; estímulo à promoção da cultura de proteção de dados pessoais; atuação integrada e coordenada com órgãos e entidades da administração pública; e exigência de mínima intervenção na imposição de condicionantes administrativas ao tratamento de dados pessoais.

Referido modelo se mostra coerente, sobretudo pelo fato de o Brasil não ter a mesma cultura de proteção de dados da União Europeia, onde o assunto se faz presente desde meados do século passado. Essa cultura se instaura, sobretudo, com divulgação, orientação, educação e conscientização.

Ainda, uma pesquisa realizada em 2020 pela Deloitte, intitulada "Agenda 2021: Recuperação, sustentação e o legado para os negócios", apontou que apenas 38% dos negócios estão preparados para as normas exigidas pela LGPD, enquanto 46% estão parcialmente e 16% não estão. O Brasil também conta com um número considerável de pequenas empresas. De acordo com o Ministério da Economia, os microempreendedores representam hoje 56,7% das empresas em atividade no Brasil; e 79,3% dos negócios abertos no ano passado. Boa parte dessas empresas tem se utilizado de ferramentas digitais e de dados para sobreviver, motivo pelo qual a instrução das medidas básicas para se adaptar à lei também são necessárias.

Diante desse cenário, o que se espera é que a ANPD tenha uma atuação fiscalizatória que promova um ambiente regulatório de mais conformidade por meio de medidas de orientação, conscientização e educação de boas práticas de proteção de dados.

As sanções devem ser a última ratio, principalmente e apenas quando houver alguma violação dolosa — ou práticas exponencialmente negligentes, condutas reiteradas ou extremamente graves —, com a orientação contínua como um dos instrumentos da ANPD para ajudar que os regulados tenham conhecimento e ferramentas para pôr a LGPD em prática. Dessa forma, regulador e regulado caminharão na mesma direção: criando e promovendo a cultura de proteção de dados. Todos terão a ganhar, pois privacidade e proteção e proteção de dados pessoais são direitos e garantias fundamentais que transcendem o mero cumprimento de um dever legal.