Fui autuado pela ANPD, e agora? Fiscalização e aplicação de sanções da LGPD

Apesar da limitada repercussão, recentemente, o presidente da Autoridade Nacional de Proteção de Dados (ANPD) afirmou que "pode haver multa desde agosto, contanto que a empresa não tenha feito tudo certo". Tal declaração não pode vir como um choque, principalmente diante do reconhecimento do tema como direito fundamental e o fortalecimento da ANPD com a definição da competência privativa da União para legislar e fiscalizar a evolução do tema no país. Ou seja, para os agentes de tratamento de dados pessoais, nos quais se enquadram todas as empresas que atuam no Brasil, a possibilidade de ser alvo de uma autuação pelo descumprimento da LGPD passa a fazer parte dos mais temerosos pensamentos de gestores, conselheiros, sócios e acionistas.

Logo no começo do mês, em 4 de outubro, foi assinado o Memorando de entendimento (MoU) entre a ANPD e a Agéncia Española de Protección de Datos (AEPD), que pode indicar um possível perfil adotado por ANPD na fiscalização no Brasil. A AEPD é a Autoridade supervisora que mais multa na Europa, chegando ao triplo de vezes se comparada com a segunda colocada — a Autoridade Italiana, e as sanções aplicadas, que iniciaram em 2020 com valores em torno de 36 mil euros, no segundo semestre de 2021 alcançaram seis milhões de euros.

Ainda em outubro, no dia 29, depois de longa espera e até um certo atraso no cronograma, a ANPD publicou a Regulamentação do Processo de Fiscalização e do Processo Administrativo Sancionador, que foi alvo de consulta pública no mês de maio.

Apesar da sinalização do possível rigor fiscalizatório que possa estar por vir, caso se espelhe ao exemplo da atuação da AEPD, a ANPD adotou em sua primeira norma uma postura de regulação ampla, baseada em incentivos positivos (orientação e prevenção) juntamente com mecanismos repressivos.

Embora o regulamento tenha o condão de cumprir o artigo 53 da LGPD criando as regras para o procedimento administrativo, falha em não estabelecer metodologia própria para o cálculo das sanções administrativas previstas no artigo 52 da referida norma. Tal falha impede a definição, neste momento, da penalidade a ser aplicada, inclusive quanto aos valores das multas para cada descumprimento identificado. Isto porque os agentes de tratamento que infringirem às normas previstas estarão sujeitos a um leque de sanções que parte desde advertência, multa simples, multas diárias até a proibição total do exercício das atividades relacionadas ao tratamento de dados pessoais.

Não obstante tal lacuna, fato é que a LGPD está em pleno vigor, e com a definição do procedimento administrativo na referida regulamentação, sujeita os infratores à autuação pela autoridade, o que poderá inclusive resultar na aplicação de multas retroativas como bem pontuado pelo órgão. Assim, em caso de autuação, o agente de tratamento autuado deve conhecer a fundo as regras trazidas no referido procedimento administrativo para uma devida defesa de seus direitos.

Conforme definido na Resolução CD/ANPD nº 1, a autoridade poderá requisitar o fornecimento de informações que permitam avaliar as atividades de tratamento de dados pessoais efetuadas; o acesso às instalações, equipamentos e sistemas; a divulgação de informações sobre o inventário de TI e demais sistemas utilizados para os tratamentos de dados, a comprovação da manutenção de informações durante os prazos legais e a disponibilização de um representante (Encarregado/DPO) apto a apoiar a atividade de fiscalização. Além disso, há a previsão de realização de auditorias, que poderão, ou não, se submeter a prévia notificação ou acompanhamento de representante.

A fiscalização da ANPD tem o objetivo de orientar, prevenir e reprimir infrações à LGPD e poderá ser iniciada em quatro hipóteses: 1) de ofício; 2) decorrente de programa periódico; 3) de forma coordenada com outras autoridades e 4) em cooperação internacional.

O monitoramento trata de levantamento de informações relevantes para as decisões da ANPD e tem a finalidade de planejar a atuação fiscalizatória, analisar a conformidade dos agentes de tratamento, prevenir práticas irregulares e fomentar a cultura de proteção de dados pessoais, além de atuar na correção de práticas irregulares e na reparação ou minimização de eventuais danos.

As petições são destinadas a apreciar as solicitações de titular no exercício de seus direitos (DSR) que não foram atendidas pelo controlador. Para as petições, a ANPD estabeleceu a necessidade de comprovar o contato prévio com o controlador e que a requisição não tenha sido solucionada no prazo. Portanto, é importante que os agentes regulados estejam em condições de atender às solicitações dos titulares no exercício de seus direitos sobre os dados pessoais, bem como, de manter registros e controles aptos para verificação do histórico dos DSRs.

As denúncias, por sua vez, são comunicações de supostas infrações à legislação de proteção de dados, feitas por qualquer pessoa (física ou jurídica). Para denunciar, o autor poderá se identificar ou não, sendo que as informações trazidas, serão avaliadas no caso concreto em relação à verossimilhança das alegações.

A orientação promove a conscientização e educação dos agentes de tratamento e dos titulares dos dados pessoais, através da publicação de guias de boas práticas e de modelos de documentos a serem utilizados pelos agentes, além de sugestão de treinamentos e da recomendação de padrões técnicos e quanto a implementação de Programa de Governança em Privacidade.

A atividade preventiva é baseada na construção conjunta e dialogada de soluções para reconduzir o agente de tratamento à plena conformidade ou remediar situações de risco ou dano aos titulares de dados pessoais e a outros agentes. Dentre as medidas, são consideradas a divulgação de informações; aviso; solicitação de regularização e plano de conformidade: 1) a divulgação de informações consiste em dados setoriais agregados e de desempenho dos agentes de tratamento; 2) o aviso, por sua vez, prevê a descrição da situação e informações suficientes para que o agente de tratamento tenha como estabelecer as providências necessárias; 3) a solicitação de regularização é destinada a uma situação específica, de menor complexidade; 4) já o informe será usado em situações em que a infração ocorrida se deu decorrência de tratamento de dados pessoais por órgãos públicos. O plano de conformidade será utilizado em situações de maior complexidade e deverá conter as ações corretivas e prazos, além de incluir os critérios para o acompanhamento dos resultados esperados. A falha em cumprir com a solicitação de regularização, o informe ou o plano de conformidade poderá ensejar a adoção de outras medidas preventivas, ou até mesmo progredir para a atuação repressiva, e poderá ser considerado agravante em processo administrativo sancionador futuro.

Por fim, a repressão trata da ação coercitiva da ANPD, de modo a interromper situações de dano ou risco, garantir a conformidade com a LGPD e a punir os responsáveis mediante aplicação das sanções previstas no artigo 52, LGPD, segundo processo administrativo sancionador. O processo administrativo poderá ser instaurado de ofício, em decorrência da atividade de monitoramento ou diante de decisão da ANPD após análise de um requerimento, podendo ou não ser precedido de um processo preparatório, dependendo da natureza e gravidade das infrações, dos direitos pessoais afetados, além de considerações quanto à reincidência e risco de prescrição das medidas administrativas.

Por fim, importante destacar que a ANPD estabeleceu prazos regulatórios curtos de dez dias úteis para as respostas às suas requisições, portanto além das necessárias adequações e manutenções de melhores práticas para o correto tratamento dos dados pessoais, a ausência de expertise na condução do processo administrativo sancionador aumenta ainda mais o risco do negócio.

A chegada da Resolução CD/ANPD nº 1 é um importante avanço na proteção de dados pessoais no país. A ausência da metodologia para o cálculo das penalidades para a aplicação de sanções coloca os administrados não em uma posição de tranquilidade, mas de incerteza, demandando do presente momento ainda mais cautela com o intuito de diminuir a chance das empresas de serem surpreendidas pelas penalidades previstas na lei.

Sabemos que o tema privacidade e proteção de dados tem complexidades administrativas, jurídicas e técnicas e, portanto, exige conhecimentos específicos e atualizados para que possa ser encaminhado junto às autoridades de forma apropriada e nos prazos definidos. Contar com o apoio de escritórios de privacidade é importante para obter orientações legais das ações necessárias tanto para que a empresa esteja em conformidade com a lei, quanto para sua manutenção, pois não basta tornar-se compliant, é necessário permanecer compliant. Além de crucial na condução e no suporte nas demandas de fiscalização e na defesa de seus interesses em processos administrativos instaurados pela ANPD.