A ausência de regulamentação da LGPD

Após uma longa jornada de mais de uma década de reflexões, debates e muita resistência, a concretização do direito fundamental à proteção dos dados pessoais finalmente deu um importante passo. A Lei nº 13.709/2018, Lei Geral de Proteção de Dados Pessoais (LGPD), está integralmente em vigor. A observância da lei era obrigatória desde 18/9/2020, com exceção dos dispositivos relativos às sanções administrativas, que tiveram sua vigência adiada para 1º de agosto deste ano.

Apesar de vigente na ordem jurídica nacional, a LGPD ainda tem um longo caminho a percorrer para que promova uma efetiva proteção dos dados pessoais. Sua implementação, em grande parte, depende de regulamentação e os desafios e dúvidas, especialmente no setor privado, são numerosos.

1) Consequências da ausência de regulamentação
É de se notar uma farta oferta, na atualidade, de serviços de adequação à LGPD direcionados a empresas ou determinadas categorias profissionais, assim como de publicações especializadas, cursos, webinários, lives e outros produtos relacionados. Os esforços para o integral cumprimento da lei são relevantes e compulsórios, mas afigura-se imprescindível e urgente a sua regulamentação.

A Lei nº 13.709/2018 traz fundamentos e princípios da proteção de dados pessoais, além de regras sobre as hipóteses de aplicação e requisitos para o tratamento. Elenca direitos, obrigações e dispõe sobre a responsabilidade dos agentes de tratamento e as sanções administrativas. A maior parte dessas questões, contudo, é tratada na forma de norma geral, deixando lacunas a serem preenchidas com a edição de regulamentos de execução, de competência da autoridade administrativa.

Cumpre à Autoridade Nacional de Proteção de Dados (ANPD), que já teve sua estrutura regimental aprovada pelo Decreto nº 10.474/2020, editar, por exemplo, regulamentos sobre relatórios de impacto; comunicação ou o uso compartilhado de dados pessoais sensíveis entre controladores; procedimentos simplificados e diferenciados para que microempresas, empresas de pequeno porte, startups e empresas de inovação; padrões mínimos para a adoção de medidas de segurança; infrações administrativas e imposição de sanções [1].

O próprio presidente da ANPD, Waldemar Ortunho Júnior, destacou a existência de 60 pontos dentro da LGPD a serem regulamentados [2] e o órgão deu publicidade ao seu planejamento estratégico estabelecendo ações cujo cumprimento foi estimado em um horizonte temporal de até dois anos [3]. Ocorre que, de acordo com as informações que vêm sendo divulgadas, percebe-se que o ritmo dos trabalhos de regulamentação não é suficiente para que se promova o enforcement da LGPD. Planejou-se, por exemplo, para o primeiro semestre deste ano [4] a publicação de resoluções sobre o relatório de impacto à proteção de dados e acerca da comunicação de incidentes e especificação de prazo de notificação, metas que não foram cumpridas.

Alguns temas estão sendo encaminhados, como a pretensão de edição, ainda neste ano [5], de norma estabelecendo procedimentos simplificados e diferenciados para a implementação da LGPD nas microempresas e empresas de pequeno porte. Recentemente, foi iniciada consulta pública sobre minuta de resolução que será seguida de audiência pública. Trata-se de providência essencial para que tais empresas possam, de fato, promover a sua adequação, uma vez que não dispõem de estrutura e recursos suficientes para a promoção de medidas complexas e onerosas.

Nesse cenário de tantas lacunas, a preocupação que mais tem afetado o setor privado é a possibilidade de imposição imediata de sanções aos agentes de tratamento, uma vez que a conformidade integral à lei já é compulsória. Muito se tem dito e anunciado que as empresas já estão sujeitas às penalidades administrativas por violação à norma, entre as quais a imposição de multa incidente sobre o faturamento da pessoa jurídica de direito privado.

Parece-nos, contudo, inviável o reconhecimento da prática de infração administrativa e a aplicação de quaisquer das sanções previstas, por falta da necessária previsão legal e da regulamentação expressamente exigida pela própria LGPD.

É certo que existe hoje a obrigação de cumprir, na medida do possível, as novas regras de proteção de dados. As empresas omissas ou violadoras da lei já arcam com as consequências do descumprimento perante o Poder Judiciário e em suas relações negociais. A imposição de sanções administrativas, porém, é uma questão que merece um exame mais detido, uma vez que a LGPD não descreveu os comportamentos que configurariam, em tese, infrações administrativas. Limitou-se a dispor, em seu artigo 52, que os agentes de tratamento, em razão das infrações às normas contidas naquela lei, ficam sujeitos às sanções que ali enumera. Dispôs, ainda, sobre alguns critérios gerais para a aplicação das penalidades, a serem complementados.

Em seguida, no artigo 53, caput, a lei explicitamente delega à Autoridade Nacional a definição, por meio de regulamento próprio, das infrações e sanções administrativas, bem como das metodologias necessárias ao cálculo do valor-base das sanções de multa. Com a nítida finalidade de resguardar o devido processo legal, o parágrafo primeiro do mesmo artigo exige que as metodologias sejam previamente publicadas, para ciência dos agentes de tratamento, e apresentem, de forma objetiva, as formas e dosimetrias para o cálculo do valor-base das sanções de multa. Impõe ainda, no parágrafo segundo, que o regulamento de sanções e metodologias correspondentes deve estabelecer as circunstâncias e as condições para a adoção de multa simples e diária.

Percebe-se que existem muitas questões a serem enfrentadas para que se possa reconhecer a prática de infração administrativa e impor a correspondente sanção no âmbito da LGPD. Não se pretende esgotá-las no presente artigo, mas sim suscitá-las e estimular a reflexão.

De início, é de se destacar que o poder sancionatório do Estado deve obediência aos princípios da legalidade e da anterioridade. A imposição de obrigações, a previsão de hipóteses que caracterizam infrações administrativas e suas correspondentes sanções depende de previsão legal anterior. Assim, os ilícitos deveriam ter sido tipificados na própria LGPD, de forma clara, não nos parecendo possível a delegação legislativa à ANPD. Trata-se de matéria a ser disciplinada por lei em sentido estrito, cabendo aos atos normativos inferiores apenas viabilizar a sua execução, completar as lacunas, sem inovação na ordem jurídica. É certo que o tema será enfrentado pela doutrina e pelo Poder Judiciário, tão logo os processos administrativos sancionatórios comecem a ser instaurados.

Com relação às sanções, embora enumeradas taxativamente na LGPD, dependem de regulamento específico para a sua aplicação, conforme explicitamente previsto. Sabe-se que a ANPD publicou em 28 de maio, para fins de consulta pública, minuta de resolução que aprovará o regulamento de fiscalização, o qual trata das atividades de monitoramento, orientação e prevenção na atividade fiscalizatória [6]. Ocorre que tal ato, mesmo que aprovado, não suprirá as omissões no que diz respeito às infrações administrativas e sanções. Seu texto contém regras sobre o processo administrativo sancionador e suas fases, versando sobre um conteúdo exclusivamente procedimental. Há ainda outra questão relevante a ser considerada. Mesmo após a devida tipificação das infrações e edição das regras sobre a aplicação das sanções, é necessário que a norma tida por violada tenha sido regulamentada de forma a permitir o seu correto cumprimento. Do contrário, não haverá previsibilidade das exigências do poder público e das consequências do descumprimento da lei.

A LGPD, por exemplo, determina que seja regulamentada a forma de elaboração dos relatórios de impacto. Caso a Autoridade Nacional ainda não tenha editado ato específico sobre o tema, mas já tenha descrito como infração a remessa de relatório incompleto ou inadequado, seria legítima a punição? Parece claro que não, uma vez que a regra a ser cumprida ainda não teria sido integrada pelo necessário regulamento. O mesmo ocorreria com inúmeras questões objeto da lei, cuja observância depende de regulamentação.

2) Conclusão
Constata-se que a agilidade na descrição legal dos comportamentos que consubstanciam as infrações administrativas e na regulamentação da aplicação das sanções e de outras normas gerais é imprescindível para a implementação da LGPD e para a construção de uma cultura de proteção de dados pessoais no Brasil. Só assim os setores público e privado terão parâmetros para efetivamente cumprir as normas em vigor e desempenhar suas atividades com respeito aos direitos fundamentais de liberdade, de privacidade e do livre desenvolvimento da personalidade.

Não se pode perder de vista que a ausência de uma cultura de proteção de dados pessoais aliada ao acesso massivo a dados dos indivíduos, sem transparência ou limites, tem gerado graves consequências nas esferas pública e privada. Além dos prejuízos individuais, a possibilidade de utilização desvirtuada dos dados pessoais para o direcionamento da comunicação a públicos específicos, bem como a manipulação de fatos e comportamentos coloca em risco a própria democracia.

No que diz respeito ao aspecto sancionatório, apesar de o cumprimento da LGPD já ser compulsório, é necessária a edição de nova lei que tipifique as infrações administrativas e de atos normativos específicos, e dispondo sobre a dosimetria das penalidades. Não é viável também a punição administrativa por descumprimento de regra que depende de regulamentação para tornar-se exigível. Do contrário, estariam violados os princípios da legalidade, da anterioridade e da segurança jurídica.

É de se reconhecer que a ANPD já vem trabalhando na estruturação de um planejamento estratégico para regulamentação e divulgação de orientações quanto aos temas controversos da LGPD. A edição de resoluções para tornar concretos e aplicáveis os dispositivos da lei, contudo, ainda está longe do ideal.

Deve-se ter, neste momento, um olhar crítico sobre as dificuldades já enfrentadas para a elaboração e entrada em vigor da LGPD no Brasil. A discussão sobre o conteúdo da lei, no âmbito do Poder Executivo, iniciou-se em 2010, mas a efetiva sanção se deu oito anos depois e a plena vigência da lei somente ocorreu neste ano. Importante que não se permita a procrastinação do seu processo de implementação, sendo indispensável a imediata ação do poder público.