Como evitar onerosidades advindas das sanções pecuniárias ou impedimento do tratamento de dados nas companhias

A Lei de Proteção de Dados Pessoais (LGPD) entrou em vigor em setembro de 2020, contudo, as suas sanções administrativas só começaram a ser aplicadas agora, em agosto, sobretudo, em razão do contexto socioeconômico estabelecido pelos desdobramentos da pandemia de Covid-19.

Nesse sentido, é importante saber que a Autoridade Nacional de Proteção de Dados (ANPD) é o órgão responsável pelas fiscalizações necessárias relativas ao cumprimento da lei e pela eventual aplicação das sanções aos agentes de tratamento, que podem ser qualquer site ou empresa que realiza a coleta de dados.

Vale ressaltar, entretanto, que dados tratados por pessoas naturais com fins não econômicos, jornalísticos, artísticos ou acadêmicos, bem como os tratados pelos agentes de segurança pública que os utilizam por obrigação legislativa não são equiparados aos demais no momento da aplicação dessas penalidades.

Dentro desse panorama, tanto empresas quanto órgãos públicos poderiam ser atingidos por essas sanções caso o tratamento de dados físicos ou digitais não esteja em conformidade com a lei.

Nesse sentido, caso haja comprovação de violação à LGPD na análise das petições dos titulares de dados, a Secretaria-Geral de Fiscalização da ANPD está incumbida de iniciar o processo administrativo de apuração.

Apesar da Resolução de Fiscalização da ANPD, que estabelecerá como as sanções serão aplicadas, ainda estar sujeita a modificações por conta das contribuições recebidas durante o período de consulta pública, já podemos tirar algumas conclusões a respeito de como se realizará o procedimento de aplicação de sanções.

A resolução traz quatro categorias de requerimentos de fiscalização à ANPD: reclamação, que é a comunicação do titular de dados sobre questão apresentada ao controlador de dados e não resolvida; denúncia, caracterizada pela comunicação por qualquer pessoa, natural ou jurídica, de infração à LGPD, que não seja reclamação; representação, resumida na comunicação de autoridades públicas sobre fatos potencialmente infratores da legislação de proteção de dados; e requerimento, que é a denominação dada ao conjunto dos tipos de comunicação à Autoridade^[1].

Com base nesses requerimentos, a ANPD pretende realizar uma abordagem responsiva, ou seja, ela promoverá uma fiscalização gradual, seguindo a priorização de temas conforme risco, gravidade, atualidade e relevância.

Assim, a “agenda de ciclo de monitoramento” trazida pela Resolução, que é o método de organização da fiscalização pela ANPD, se dará conforme as prioridades estabelecidas ao analisar as informações recebidas através dos requerimentos.

Por isso, a Resolução estabelece em seu art. 18 um relatório de análise de ciclo de monitoramento e um mapa de temas prioritários como instrumentos de monitoramento para guiar a atuação da Autoridade.

Já está em funcionamento, inclusive, o canal de atendimento ao cidadão e titular de dados no site do Governo Federal, que tem por finalidade recolher as reclamações dos titulares sobre o descumprimento das normas da LGPD. O relatório de análise de ciclo de monitoramento e o mapa de temas prioritários mencionados anteriormente nortearão a atuação da ANPD, de fiscalização orientadora, preventiva e sancionadora.

O processo de fiscalização, portanto, não se dará somente em resposta aos requerimentos, também haverá a adoção de processos de monitoramento, orientação e atuação preventiva, podendo iniciar o procedimento repressivo.

Durante a ação fiscalizatória, a ANPD pode atuar tanto movida por requerimentos, quanto em decorrência do programa periódico de fiscalização. Existe, também, a possibilidade de atuação em cooperação com órgãos e entidades da administração pública responsáveis pela regulação de setores específicos da atividade econômica e governamental que dialogam com a proteção de dados, ou com autoridades de proteção de dados de outros países, sendo estas internacionais ou transnacionais.

Ademais, será realizada a atuação informacional, direcionada a disseminar o conhecimento a respeito das boas práticas de proteção de dados, sem prejuízo da aplicação de sanções quando verificada infração.

No que se trata da aplicação de sanções, a Resolução dispõe que o processo administrativo sancionador, passível de consulta pública, comporta quatro fases. A primeira é a instauração, que pode ser realizada pela ANPD, em decorrência de um processo de monitoramento descrito ou diante de requerimento (se a Coordenação-Geral de Fiscalização considerar necessário após a análise de admissibilidade do requerimento).

A segunda fase, de instrução, se inicia com a expedição de intimação ao agente de tratamento para que ele apresente sua defesa em até dez dias, cabendo a ele o ônus de prova. Em seguida, a Coordenação Geral de Fiscalização profere a decisão de primeira instância, compondo a terceira fase.

E, por último, há, ainda, a possibilidade de recurso administrativo ao Conselho Diretor, instância administrativa máxima, também no prazo máximo de dez dias. Se assim decidido, após o processo, poderão ser aplicadas multas, conforme as disposições da LGPD.

O não cumprimento das determinações estabelecidas pela LGPD pode resultar em sanções administrativas diversas, dentre elas estão advertência, multa simples, multa diária, publicitação da infração, bloqueio dos dados pessoais e eliminação dos dados pessoais.

As multas simples são calculadas em cima do faturamento, sendo limitada a 2% do faturamento da pessoa jurídica e a 50 milhões de reais por infração e a multa diária também é limitada a este mesmo montante por infração.

Se uma das sanções já tiver sido aplicada, é possível que novas sejam desbloqueadas – como a suspensão parcial do funcionamento do banco de dados e a suspensão do exercício da atividade de tratamento dos dados pessoais relativos à infração, assim como a proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados como um todo.

Hoje, apesar da possibilidade das sanções já começarem a ser aplicadas, ainda há uma lacuna a ser preenchida pela ANPD: orientar previamente qual será o método de cálculo do valor-base das multas, bem como as condições de aplicação ou da multa simples ou da multa diária.

A publicação do Regulamento de Fiscalização e de Aplicação de Sanções Administrativas é pré-requisito para a aplicação de multas pela ANPD, conforme o art. 53, § 1º da LGPD. Contudo, quando a publicação do Regulamento ocorrer, este poderá retroagir para todas as infrações cometidas a partir do dia 1º de agosto de 2021, ou para delitos de natureza continuada iniciados antes de tal data, estando a LGPD já em vigor.

Apesar disso, órgãos como o Procon já aplicaram multas em função das infrações somadas às denúncias dos consumidores, como foi o caso de uma rede de farmácias em Mato Grosso, multada sob a justificativa de ter obtido irregularmente a autorização dos consumidores para o tratar seus dados pessoais.

Essa constatação veio com uma série de fiscalizações que foram realizadas em diversas unidades desta rede em Cuiabá. Apesar disso, uma pesquisa do Procon-SP que teve a participação de 7.408 pessoas revelou que 30% dos que responderam a pesquisa tiveram seus dados expostos em vazamentos.

Indo além das sanções já previstas, diversas denúncias já têm sido feitas junto às Defensorias Públicas, aos Ministérios Públicos e aos órgãos de defesa ao consumidor com o intuito de ajuizar condenações indenizatórias.

Em menos de um ano, a LGPD foi a base legal de quase 600 sentenças judiciais envolvendo o uso inapropriado de dados pessoais tanto de ex-funcionários quanto de consumidores em geral. Isso porque, ao solicitarem seus direitos como, por exemplo, a exclusão total dos dados, as empresas não têm atendido às solicitações dos titulares de dados, seja por negligência, seja por falta de ferramentas que possam auxiliar os setores jurídicos e de tecnologia.

Sabendo que, apesar de a ANPD não ter publicado o regulamento que aborde as dosimetrias para o cálculo das multas, é urgente que as empresas procurem boas ferramentas de gestão de consentimento e de comunicação com o titular de dados para a efetivação de seus direitos dentro do prazo de 15 dias estabelecido pela lei.

Isso porque, além da aplicação dessas sanções já descritas, o não cumprimento dos direitos dos titulares pode acabar acarretando em perdas de oportunidade de negócios. Isso porque é observável uma grande tendência de os consumidores estarem mais bem informados acerca de seus direitos e da necessidade de ter seus dados mais protegidos, haja vista, por exemplo, o aumento de reclamações no Reclame Aqui que envolvem a LGPD.

Além disso, é de extrema importância, também, que os agentes de tratamento tenham registrado as provas de atendimento e resposta a esses direitos e os relatórios das solicitações para estarem munidos em eventuais litígios. Assim, será possível evitar as possíveis onerosidades advindas das sanções pecuniárias ou, até mesmo, o impedimento do tratamento de dados nas companhias.