Lista de processos sancionadores da LGPD divulgada pela ANPD

A entrada em vigor da LGPD (Lei Geral de Proteção de Dados Pessoais), com a instituição da ANPD (Autoridade Nacional de Proteção de Dados), acarretou uma considerável mudança no ordenamento jurídico brasileiro. Cada vez mais estruturada e sedimentada, a “Autoridade” exerce um papel fundamental na salvaguarda do direito fundamental à proteção de dados pessoais.

No que se refere à atuação fiscalizadora e sancionadora da ANPD, a edição da Resolução CD/ANPD nº 01, em 28 de outubro de 2021, com a regulamentação do procedimento administrativo fiscalizador e sancionador em seu escopo, pode ser considerada a primeira grande movimentação, sendo seguida pelo Regulamento de Dosimetria e Aplicação das Sanções Administrativas, publicado em 24 de fevereiro de 2023.

Nesta esteira, a divulgação recente da lista de processos sancionatórios instaurados pela Coordenação-Geral de Fiscalização da ANPD (CGF/ANPD) vem trazer à sociedade maiores informações acerca da atuação fiscalizadora e sancionadora da autoridade. Este artigo tem o objetivo de analisar e tecer breves comentários sobre o rol propalado.

Em primeiro momento, cabe destacar que a lista, contendo somente processos administrativos ainda em trâmite, revelou informações e dados relevantes, tais como: (i) o nomes dos controladores envolvidos; (ii) a data de instauração; (iii) o estado atual dos procedimentos administrativos; (iv) o número dos processos administrativos; e (v) as condutas investigadas.

Neste particular, dois pontos merecem notas. A lista inclui oito processos instaurados pela CGF/ANPD, entre março e outubro de 2022. Desses, sete foram instaurados em face de seis entes públicos estaduais e federais, com o Ministério da Saúde sendo parte em dois procedimentos administrativos. Por outro lado, apenas um dos processos listados possui como controlador dos dados pessoais um ente privado, atuante no setor de telecomunicações.

O descompasso entre o percentual de processos envolvendo entes do setor público e do setor privado levanta questionamentos quanto ao nível em que a ANPD vem exercendo sua fiscalização nos participantes desse último.

Isso pois, neste momento em que a ANPD inicia sua ação fiscalizadora e sancionadora, ela ainda opera com aparato e pessoal reduzido. O corpo atual de trabalho da Autoridade é composto por servidores cedidos por outros órgãos públicos, tendo em vista que, até o presente momento, a ANPD não realizou nenhum concurso público para admissão de servidores em seus quadros.

Neste ponto, cabe ressaltar que existe a previsão de publicação de edital para o primeiro concurso de seleção de servidores públicos para a Autoridade ainda no ano de 2023, com a abertura de 215 novas vagas.

Este cenário demonstra que existe uma proximidade natural entre a ANPD e demais órgãos estatais, que facilitaria a requisição e atendimento de informações e documentos necessários para a atuação da Autoridade, o que, em tese, poderia justificar um maior volume de processos envolvendo entes públicos.

Tal argumento seria corroborado por duas razões. A primeira delas é a própria inserção na mesma esfera da ANPD e dos demais órgãos públicos. O segundo motivo é o fato de que, conforme destacado nos parágrafos anteriores, os servidores atualmente alocados na ANPD são oriundos de outras entidades públicas, de modo que podem possuir uma aproximação pessoal capaz de facilitar e incentivar a sua atuação.

Contudo, mesmo essa relação de proximidade é incapaz de explicar uma diferença tão considerável, seja do ponto de vista absoluto ou percentual, quanto aquela verificada na lista de processos sancionadores entre os entes privados e públicos.

Ademais, pode-se realizar uma comparação entre a lista ora discutida e as Notas Técnicas já exaradas e tornadas públicas pela autoridade, na qual verifica-se que, dentre seis notas técnicas, quatro estavam relacionadas a controladores públicos (i.e., INEP, Receita Federal, Polícia Rodoviária Federal e Ministério do Trabalho e Previdência), uma delas a um controlador privado (WhatsApp) e a última tanto a um controlador privado quanto a um controlador público (Drumwave e Serpro, respectivamente)[1].

Embora, do ponto de vista estatístico, tanto a lista de processos sancionadores quanto a de notas técnicas formem um espaço amostral pequeno, observa-se em ambas uma proporção similar, com maior número de casos envolvendo entes públicos. Tal fato, apesar de justificável conforme acima citado, é um aspecto a ser endereçado pela ANPD no futuro breve.

Já o segundo ponto que suscita considerações diz respeito às condutas investigadas pela autoridade nos processos administrativos sancionadores incluídos na lista divulgada ora debatida.

Dos sete casos envolvendo entes públicos, seis averiguam a ausência de comunicação de incidente de segurança aos titulares de dados pessoais e quatro investigam a falta de medidas de segurança pelo controlador, o que indica uma possível visão conservadora da ANPD em termos de transparência aos titulares e de implementação de estruturas técnicas confiáveis no processamento de dados pessoais.

Já o não atendimento de requisição ou determinação da ANPD é conduta investigada em cinco dos oito processos sancionadores divulgados, o que ilustra a relevância da colaboração dos controladores com a autoridade em matérias envolvendo tratamento de dados pessoais.

Ademais, uma análise do único processo sancionador da lista envolvendo ente privado implica na observação de que três das condutas nele investigadas não são analisadas em qualquer outro caso, quais sejam: (i) ausência de comprovação de hipótese legal; (ii) ausência de registro de operações; e (iii) não envio de Relatório de Impacto de Proteção de Dados.

Aqui, verifica-se uma atuação mais aprofundada da Autoridade, o que não ocorre nos processos envolvendo entes públicos como controladores, ainda que envolvendo incidentes de segurança. Todavia, a falta de acesso aos autos do processo impede uma confirmação da situação fática exata e da motivação da ANPD na investigação dessas condutas.

Por fim, cumpre citar que, indubitavelmente, a divulgação da lista pela ANPD perfaz um passo importantíssimo na transparência de sua atividade regulatória, embora não supere totalmente o obstáculo da falta de publicidade, uma vez que a regra atual da Autoridade é a aplicação de sigilo para todos os processos sancionadores e documentos a eles relacionados, sendo a exceção a publicidade.

Desse modo, tornam-se públicos somente os aspectos divulgados pela Autoridade. No comunicado que dispõe a lista em comento, a própria ANPD destaca que o acesso aos documentos dos processos sancionadores será disponibilizado ao público após a conclusão das investigações, com as respectivas sanções a serem aplicadas.

Entretanto, não fica claro se a divulgação dos documentos ocorrerá em todos os casos ou apenas naqueles em que houver emprego de sanção por parte da autoridade, o que prejudica a publicidade e a transparência da atuação do ente regulador, bem como a melhor compreensão da sociedade sobre o posicionamento e entendimento da ANPD nos casos concretos.

Todavia, em que pese a necessidade de proteção da privacidade e dos dados pessoais dos titulares de dados, assim como o segredo industrial e de negócio, a regra adotada pela Autoridade nesse quesito vai de encontro ao princípio da transparência no Estado Regulador[2] e à Lei de Acesso à Informação, sendo necessária sua reforma.

Uma possível alternativa para compatibilizar os pontos destacados seria a inversão do cenário atual, tornando regra a publicidade dos processos administrativos conduzidos pela autoridade e aplicando o sigilo de maneira excepcional. Aqui, a criação de versões públicas e restritas dos documentos, nos moldes do procedimento administrativo no âmbito do Cade (Conselho Administrativo de Defesa Econômica), torna-se interessante hipótese a ser considerada.

Em suma, a promulgação da lista dos processos sancionadores instaurados pela CGF/ANPD é outro indicativo da atuação qualificada da Autoridade em matéria da proteção de dados pessoais, configurando um passo adicional na caminhada em direção à solidificação desse direito fundamental no ordenamento nacional. Apesar disso, tal medida não pode e nem deve ser considerada como passo final, com a linha de chegada ainda distante.