Proteção de dados e sanções: o cenário atual

No final de julho deste ano, a aplicação de uma multa pela Comissão Nacional de Proteção de Dados de Luxemburgo (CNPD) à Amazon ganhou grande destaque na mídia em virtude do seu expressivo valor: 746 milhões de euros.

A referida sanção é consequência de uma investigação solicitada ainda em 2018, por meio da qual foi concluído que o aplicativo não observou o seu dever de transparência ao informar os usuários sobre o tratamento dos seus dados.

Neste caso do WhatsApp, um outro ponto chamou bastante atenção: a solicitação por parte do European Data Protection Board (EDPB) para que a Comissão de Proteção de Dados Irlandesa altere a sua decisão a fim de esclarecer questões relativas às violações da transparência, ao cálculo da multa e ao prazo para o cumprimento da ordem.

E por que esse ponto é importante?

Porque direciona os holofotes para outra perspectiva, além das vultosas multas frequentemente divulgadas, qual seja: o procedimento para a imposição das sanções.

A aplicação de qualquer sanção, logicamente, precisa seguir uma metodologia e ser precedida de um processo que possibilite a oportunidade do contraditório e da ampla defesa, questões que, muitas vezes, não estão detalhadas na norma, como acontece com a Lei nº 13.709/2018 (Lei Geral de Proteção de Dados Pessoais — LGPD).

Diante disso, cabe à Autoridade Nacional de Proteção de Dados (ANPD) regulamentar o tema, mas essa regulamentação demanda um processo que envolve, inclusive, a participação da sociedade por meio de consultas e audiências públicas, o que exige tempo.

Tanto o Regulamento de Fiscalização e Aplicação de Sanções Administrativas quanto o regulamento relativo às sanções e dosimetria ainda não foram publicados. No entanto, o primeiro documento já possui uma minuta que aguarda apenas a deliberação do conselho diretor da ANPD para a sua finalização.

De acordo com essa minuta do regulamento, o processo administrativo sancionador a ser instaurado pela Autoridade Nacional será composto pelas quatro fases que permeiam os processos administrativos de modo geral: instauração, instrução, julgamento e recurso.

Como expresso no próprio documento e afirmado pela ANPD em outra oportunidade, além das regras dispostas no regulamento também serão aplicáveis, de forma subsidiária, as disposições da Lei Federal nº 9.784/1999, que trata do processo administrativo no âmbito da Administração federal direta e indireta [1].

Tendo isso em vista, e considerando que o processo administrativo é o instrumento por meio do qual o agente de tratamento poderá provar que agiu de acordo com a LGPD, a adequada instrução, que, naturalmente, demanda a existência de evidências acerca da implementação do programa de privacidade e proteção de dados pessoais, bem como o conhecimento da legislação correlacionada aos processos administrativos se mostram indispensáveis.

Diante desse cenário, é importante esclarecer alguns mitos relacionados ao tema que, infelizmente, ainda são disseminados.

Primeiro, se não existe um procedimento previamente definido, isso quer dizer que os fatos ocorridos antes da publicação desses regulamentos não serão sancionados?

De forma alguma! Embora a ANPD tenha afirmado que a sua atuação sancionadora iniciará somente após a aprovação do Regulamento de Fiscalização e Aplicação de Sanções Administrativas, a autoridade também esclareceu que a aplicação das sanções pode se referir tanto aos fatos ocorridos após 1º de agosto quanto para fatos de natureza continuada iniciados antes da referida data.

Segundo, somente os "vazamentos de dados" serão sancionados?

Não! Todo e qualquer descumprimento de obrigação prevista na LGPD é passível de sanção pela autoridade, como também já foi destacado pela própria ANPD.

E, por último, mas, definitivamente, não menos relevante: só a Autoridade Nacional pode aplicar sanções?

Somente as sanções expressas no artigo 52 da LGPD são de aplicação exclusiva pela autoridade, outras sanções administrativas, civis ou penais definidas no Código de Defesa do Consumidor (CDC) ou, ainda, em outra legislação específica podem ser aplicadas pelos demais órgãos públicos, como, de fato, já vem acontecendo há algum tempo.

Referências bibliográficas
ANPD. Minuta de Resolução que dispõe sobre a fiscalização e aplicação de sanção pela Autoridade Nacional de Proteção de Dados. Disponível em: <https://www.gov.br/anpd/pt-br/assuntos/noticias/anpd-abre-consulta-publica-sobre-norma-de-fiscalizacao/2021.05.29___Minuta_de_Resolucao_de_fiscalizacao_para_consultapblica.pdf> Acesso em 16 de setembro de 2021.

ANPD. Sanções Administrativas: o que muda após 1º de agosto de 2021? Disponível em: <https://www.gov.br/anpd/pt-br/assuntos/noticias/sancoes-administrativas-o-que-muda-apos-1o-de-agosto-de-2021> Acesso em 13 de setembro de 2021.

BRASIL. Lei nº 13.709/2018. Lei Geral de Proteção de Dados Pessoais. Disponível em: <http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm>. Acesso em 13 de setembro de 2021.

BRASIL. Lei nº 9.784/1999. Regula o processo administrativo no âmbito da Administração Pública Federal. Disponível em: <http://www.planalto.gov.br/ccivil_03/leis/l9784.htm> Acesso em 13 de setembro de 2021.

EDPB. EDPB requests that Irish SA amends WhatsApp decision with clarifications on transparency and on the calculation of the amount of the fine due to multiple infringements. Disponível em: https://edpb.europa.eu/news/news/2021/edpb-requests-irish-sa-amends-whatsapp-decision-clarifications-transparency-and_en?utm_campaign=newsletter_-_09092021&utm_medium=email&utm_source=RD+Station> Acesso em 09 de setembro de 2021.

G1. WhatsApp é multado em R$ 1,3 bilhão na Europa por desrespeitar lei de proteção de dados. Disponível em: <https://g1.globo.com/economia/tecnologia/noticia/2021/09/02/whatsapp-e-multado-na-europa-por-desrespeitar-lei-de-protecao-de-dados-pessoais.ghtml> Acesso em 09 de setembro de 2021.

Mehta, Chavi. CNN BRASIL. União Europeia multa Amazon em US$ 886 mi em caso sobre privacidade de dados. Disponível em: <https://www.cnnbrasil.com.br/business/uniao-europeia-multa-amazon-em-us-886-mi-em-caso-sobre-privacidade-de-dados/> Acesso em 09 de setembro de 2021.