Desafios do início da aplicação das sanções administrativas pela ANPD

Introdução
Desde o último dia 1º de agosto valem as sanções administrativas estabelecidas pelo artigo 52 e seguintes da Lei Geral de Proteção de Dados Pessoais (Lei n º 13.709/2018 ou LGPD). Mas o primeiro desafio que já surge neste início da aplicação das penalidades é a necessidade de que a norma fiscalizadora esteja completamente aprovada para que as multas possam ser efetivamente executadas pela Autoridade Nacional de Proteção de Dados (ANPD).

Como órgão da Administração, logo adstrito ao cumprimento dos princípios da Administração Pública, como a transparência e a legalidade, a ANPD vê-se impedida de começar a agir imediatamente com plenitude para exercer todas as atividades para as quais está autorizada, e, mais ainda, obrigada.

Aliada ao cenário de pandemia que desestruturou a agenda administrativa nos quase dois anos anteriores, a novidade do tema e a falta de cultura do Brasil sobre o assunto levaram ao atraso na aprovação e publicação do texto final da referida norma fiscalizadora, fazendo com que, mesmo após início da vigência legal dos artigos da LGPD que tratam das sanções, estas deixem de ser aplicadas pela ausência de procedimento estabelecido pela ANPD.

Não obstante a ausência da norma que habilita as sanções, é de salientar que a Autoridade Nacional cuidou de cumprir os requisitos legais para elaboração do regulamento, tanto que dirigiu à participação pública a discussão sobre o texto por meio de consulta pública realizada no período entre os dias 28/5 e 28/6/2021 e pela realização de audiência pública durante os dias 15 e 16/7/2021, sempre com interação pelo portal Participa + Brasil.

Esse modelo de atuação reforça a preocupação da Autoridade Nacional em desenvolver regras que reflitam a realidade do cenário que devem encontrar quando aplicadas. Atualmente o texto encontra-se em processo de análise final para aprovação e consequente publicação, o que deve ocorrer ainda este ano.

Sanções em outras esferas
Enquanto a ANPD continua seu processo de organização administrativa para viabilizar sua atuação como autoridade que possui prioridade na fiscalização e interpretação da matéria de proteção de dados, conforme artigo 55-J da LGPD, outras autoridades vêm dando seguimento à aplicação de autuações, assim como muitos casos já chegam ao judiciário.

A LGPD, como norma geral, não está relacionada única e exclusivamente à atividade da autoridade nacional. Assim, além da esfera administrativa, seguem aplicáveis os procedimentos contenciosos de praxe, bem como válida segue a atuação do Ministério Público e de outros órgãos, como o Departamento Estadual de Proteção e Defesa do Consumidor (Procon), que realizam incursões legais embasadas no descumprimento das diretrizes estabelecidas pela Lei Geral de Proteção de Dados Pessoais.

A própria LGPD apresenta hipóteses de punição independente. Isso acontece, por exemplo, quando estabelece que as sanções nela dispostas não substituem a aplicação de sanções administrativas, civis ou penais definidas na Lei nº 8.078/90 (Código de Defesa do Consumidor) e em legislação específica (§2º do artigo 52), ou ao permitir que os titulares de dados pessoais realizem suas denúncias peticionando perante organismos de defesa do consumidor (parágrafo 8º do artigo 18).

Dessa maneira, em primeira análise, nada muda, e aquilo que tange aos direitos passíveis de exercício na esfera cível e demais searas do Direito seguem sendo demandados e analisados pelo Judiciário, mesmo sem qualquer interação da Autoridade Nacional de Proteção de Dados nos casos práticos.

Possibilidade de atuação da ANPD sem a norma fiscalizadora
Se por um lado é nítido o impedimento de atuação da ANPD para punir na ausência da norma fiscalizadora, este não tem sido o entendimento geral no que tange à sua atuação em outras frentes, como para exigir providências e orientar que os administrados, agentes de tratamento de dados pessoais, cumpram e demonstrem cumprir os requisitos de adequação à LGPD.

Ilustra esse modelo de atuação o Processo Administrativo nº 00261.000012/2021-04, através do qual, justificando-se pela necessidade de atuar no cumprimento da "responsabilidade de zelar pela proteção dos dados pessoais, nos termos do mesmo artigo 55-J, incisos I e IV" da LGPD, em 8 de janeiro deste ano a ANPD oficiou (Ofício n° 16/2021/ANPD/PR – SEI 2324023) os representantes do WhatsApp e do Facebook no Brasil para que prestassem esclarecimentos acerca das atualizações nos seus termos de serviço e política de privacidade aqui aplicados.

Em momento algum do processo acima levantou-se oposição à legalidade da atuação da autoridade nacional, que ausente de norma fiscalizadora, determinou que as empresas prestassem esclarecimentos acerca dos seguintes pontos: 1) tipos de dados compartilhados; 2) informações adicionais sobre os agentes de tratamento com os quais os dados são compartilhados; 3) fontes dos dados pessoais; 4) forma de armazenamento e compartilhamento; 5) finalidade do tratamento; 6) bases legais apontadas; 7) justificativa para utilização de cada base legal; 8) forma de obtenção e armazenamento do consentimento, se aplicável; 9) forma e consequências da recusa do consentimento pelo titular; 10) forma de concessão dos direitos do artigo 18 da LGPD; e 11) mecanismos de segurança adotados.

Dada a quantidade de dados pessoais envolvidos (mais de cem milhões de usuários), a ANPD considerou a necessidade de atuar para a proteção dos direitos desses titulares, tanto que na conclusão da nota técnica reiterou possuir legitimidade e competência para analisar a política de privacidade da empresa, "com vistas a garantir a conformidade com a legislação de dados pessoais".

Ou seja, a ANPD pode se valer do mesmo expediente técnico para constatar a aplicação da lei, independentemente de vincular tal ato à existência fática ou suspeita de incidente envolvendo dados pessoais, ou à existência de norma fiscalizadora. No caso em questão, a autoridade esclareceu que não se tratava ali da apuração de ocorrência de infrações com a finalidade de aplicar penalidades administrativas, mas, sim, de meio de se fazer valer a observância obrigatória, por agentes regulados, "dos princípios e regras estabelecidos pela norma em vigor".

Atribuições da ANPD
Recordemos que a ANPD, quando da atuação processual em face do WhatsApp e do Facebook, vinha já em fase de estruturação plena, tendo o seu regimento interno aprovado e publicado através da Portaria nº 1, de 8 de março deste ano. Isso por si geraria já certos indícios de validação de sua atuação.

Outrossim, a atuação da ANPD não esteve atrelada ao início de vigências dos artigos que tratam da aplicação das sanções administrativas, sendo esta (aplicação das sanções) apenas uma das atividades da Autoridade Nacional, que nos termos do artigo 55-J da LGPD possui como competências a fiscalização e aplicação, realização de auditorias ou determinação destas, e a celebração de compromisso com agentes de tratamento para eliminar irregularidade, incerteza jurídica ou situação contenciosa no âmbito de processos administrativos.

Com base nas atribuições elencadas na LGPD, a Autoridade Nacional assim justificou a instauração do processo administrativo no caso WhatsApp. A mesma abordagem, caso observemos outro acontecimento de mesma envergadura, e que envolva um grande contingente de dados pessoais envolvidos, deve alertar a ANPD, conclamando-a para agir em defesa da legislação de proteção de dados pessoais e dos titulares de dados pessoais envolvidos.

Atuação colaborativa entre autoridades
Para a completa implementação da cultura de proteção de dados no Brasil, por certo será necessária uma atuação conjunta e colaborativa da ANPD com demais autoridades, o que lhe permitirá ter maior alcance considerando a dimensão do país e as peculiaridades dos diversos setores que já possuem alguma entidade reguladora específica, como ocorre com setor de energia, financeiro, telecomunicações, seguros e saúde, outros.

Vislumbrando isso, a ANPD já iniciou a promoção de convênios com Senacon, Cade, NIC.br [1], mas ainda precisa realizar muitos outros, bem como emitir enunciados conjuntos para que fique muito clara e alinhada a interpretação sobre a matéria, evitando-se divergências que seriam prejudiciais neste momento tão importante de garantia de segurança jurídica para todo o mercado.

Conclusão
Porquanto perdurar a ausência da norma fiscalizadora, não há riscos de que ações da Autoridade Nacional de Proteção de Dados visem a fiscalizar e punir agentes de tratamento. O ambiente de vigilância pautado na qualidade de guardiã dos dados pessoais e da legislação pertinente permanece, mas não se deve esperar que a ANPD traga instabilidade e insegurança jurídica atuando de forma extranormativa. Este, inclusive, tem sido o posicionamento do próprio órgão em suas interações públicas.

Mesmo a utilização de eventual procedimento substitutivo, como é o caso da Lei nº 9.784/1999 (Lei do Processo Administrativo Federal), não parece possuir amparo legal para ocorrer. Há na LGPD especificidade que limita a utilização de qualquer outro meio legal que não o devidamente expresso na norma. Não há assim de se falar em procedimento substitutivo, pois além do mais representaria a utilização prejudicial, pela Administração Pública, de ato em face dos administrados, asseverado pelo fato de ser dela, Administração Pública, a responsabilidade pela ausência da norma fiscalizadora, algo que não poderia então apenar os agentes de tratamento.

Por fim, e não menos importante, a norma não pode, a priori, atingir ato anterior à sua criação. Logo, as sanções administrativas somente podem considerar atos ocorridos a partir do dia 1º de agosto (exceção aos casos de natureza continuada, que se iniciaram em momento anterior, mas perduraram ao tempo de vigência dos artigos referentes às sanções).

Ainda nesse sentido devemos observar que o artigo 5º, inciso XXXVI, da Constituição Federal escabece que a lei não poderá prejudicar o direito adquirido, o ato jurídico perfeito e a coisa julgada. Assim, presentes esses requisitos, não podem ser atingidos pela norma fiscalizadora posterior.

O melhor indicativo aos administrados é que atuem com transparência na gestão e proteção dos dados pessoais que tratarem. Realizem assim o completo diagnóstico dos fluxos de dados pessoais, apontando as hipóteses de tratamento elencadas na LGPD, estruturem o atendimento dos direitos dos titulares, nomeiem o encarregado de dados (DPO) e sequenciem um programa de governança em privacidade e proteção de dados pessoais para que alcancem os necessários níveis de satisfação quando analisados pelo prisma dos preceitos exigidos pela Autoridade Nacional de Proteção de Dados.

[1] Conforme publicado em https://www.gov.br/anpd/pt-br/acesso-a-informacao/repasses-e-transferencias-de-recursos-financeiros acessado em 19/9/2021.