Dia 1º de agosto, com a entrada em vigor de suas sanções, a Lei Nº 13.709/18, a Lei Geral de Proteção de Dados Pessoais (LGPD) passou, finalmente, a valer em seu inteiro teor. Aproveitando essa importante data para a proteção de dados pessoais, a Autoridade Nacional de Proteção de Dados Pessoais (APND) publicou em seu portal na internet perguntas e respostas esclarecedoras sobre sua atuação no que diz respeito às sanções da LGPD.
As perguntas e respostas, muito práticas e objetivas, dividiram-se em 15. As consolidamos em 4 eixos temáticos: (i) o que são as sanções da LGPD; (ii) quando se aplicam; (iii) por quem e (iv) como elas poderão ser aplicadas. Comentamos o que achamos relevante. Confira:
O que?
As sanções da LGPD.
São as medidas previstas na lei como forma de punição às infrações às obrigações estabelecidas pela LGPD. A autoridade lembra que o descumprimento de quaisquer das obrigações previstas na LGPD é passível de sanção, o que inclui mas não se limita ao vazamento de dados pessoais.
A ANPD indica as sanções definidas pela LGPD, que são de diversas naturezas, indo desde as mais brandas, como a advertência com indicação de prazo para adoção de medidas corretivas, até as mais severas, como a proibição do exercício de atividades relacionadas a tratamento de dados ou as multas, que podem ser de até 50 milhões de reais por infração. Exceção ao Poder Público, que não estará sujeito a sanções pecuniárias, mas ainda suscetível a todas as outras punições.
Quando?
Daqui para a frente.
A LGPD está em vigor há um ano, mas suas sanções passam a valer agora. O termo inicial do vigor da LGPD sofreu diversas alterações e foi objeto de dúvidas. No curso dessas mudanças, foram separadas as entradas em vigor do conteúdo geral da Lei e das sanções. Para que não restassem dúvidas, a última alteração legislativa da LGPD sobre o tema previu expressamente que os dispositivos que tratam das sanções entrariam em vigor no dia 1º de agosto de 2021.
Em suas perguntas e respostas, a ANPD deixa claro que as sanções da LGPD são aplicáveis a fatos ocorridos após 1º de agosto de 2021 ou para delitos de natureza continuada iniciados antes de tal data. Ou seja, a aplicação das sanções não será retroativa e apenas se dará em relação ao que ocorrer daqui para a frente. A exceção é em relação a infrações que se iniciaram antes de 1º de agosto e se estenderam no tempo.
Ilustrando em exemplos: Um compartilhamento indevido de dados pessoais entre agentes de tratamento que ocorreu em um único ato antes de 1º de agosto, não poderá ser objeto de sanções (a infração não se estendeu no tempo, teve início e se consumou instantemente, antes do vigor das sanções). De maneira diversa, um incidente de segurança, com potencial de risco ou dano relevante aos titulares, que teve início antes de 1º de agosto, mas que não foi devidamente remediado, continuando a expor os dados pessoais, poderá justificar a aplicação das medidas sancionatórias previstas na LGPD (a infração teve início antes de 1º de agosto, mas sua execução se estendeu no tempo e perdura até após o início do vigor das sanções).
A autoridade esclarece, ainda, que apenas iniciará a atividade de aplicação de sanções após a entrada em vigor de seu Regulamento de Fiscalização e Aplicação de Sanções Administrativas, que está em debate. No entanto, a ANPD deixa claro que fatos ocorridos após 1º de agosto e antes do vigor do regulamento também poderão ser objeto de sanções.
Quem?
Pela ANPD. E só.
A ANPD pontua a previsão da LGPD sobre sua competência para aplicação das sanções. As respostas nos levam a entender que a leitura da autoridade é que essa competência é exclusiva e não concorrente. Mesmo assim, a ANPD destaca que a exclusividade não impede que outras autoridades atuem em suas respectivas competências, aplicando sanções administrativas, civis ou penais previstas em outros diplomas legais. Ou seja, a ANPD reconhece que a LGPD não impede eventual atuação de outros órgãos públicos, como agências reguladoras ou órgãos de defesa do consumidor, desde que em suas competências legalmente estabelecidas e no cumprimento de legislações específicas. Nesse sentido, a ANPD destaca, ainda, que atuará em conjunto com outros órgãos e entidades públicos, inclusive por meio de acordos de cooperação, como os já firmados junto à Secretaria Nacional do Consumidor – SENACON e ao Conselho Administrativo de Defesa Econômica – CADE.
Como?
Orientar primeiro, punir depois.
A ANPD indica que está se estruturando para poder aplicar as sanções, em conformidade com a Lei Brasileira e com as disposições específicas da LGPD.
A autoridade, que já dispõe de equipe para atividades de monitoramento e fiscalização, está elaborando o Regulamento de Fiscalização e Aplicação de Sanções Administrativas. Além disso, a ANPD está estudando metodologias que orientarão o cálculo do valor-base das sanções de multa e construindo procedimento administrativo que possibilite a oportunidade de ampla defesa e de recursos administrativos, que poderão ser consultados publicamente por meio das regras da Lei de Acesso à Informação.
A previsão é que a atuação na ANPD seja responsiva, se dando de maneira gradual, baseada no comportamento dos agentes de tratamento e com base em um plano de monitoramento do setor que permita a priorização de temas segundo seu risco, gravidade, atualidade e relevância. A proposta de regulamento para o tema prevê etapas de monitoramento, orientação, prevenção e repressão de infrações, levando em consideração as informações recebidas a partir de reclamações, denúncias, representações e notificações de incidentes para estabelecer prioridades a serem incluídas na agenda de fiscalização.
Ainda que os procedimentos da ANPD não estejam estabelecidos, a autoridade ressalta que já existe um canal apropriado para comunicação de infrações relacionadas ao descumprimento da LGPD, acessível em:
A ANPD demonstra, com a publicação dessas perguntas e respostas, estar desenvolvendo um trabalho consistente e participativo em sua preparação para as atividades sancionadoras. Além disso, a autoridade sinaliza a adoção de uma postura colaborativa, seja com outras autoridades, sejam com os administrados. O tom gradativo e contextual que está sendo dado à aplicação das sanções deve ser recebido com bons olhos tanto pelos agentes de tratamento, pelos titulares e pelo poder público.
Nos dias 25 e 26 de Agosto, a TI Inside promove a 4ª Edição do Data Protection Forum. Além de contarmos com convidados internacionais, como Peter Lefkowitz, Chief Digital Risk Officer da Citrix, receberemos a diretora da ANPD, Miriam Wimmer, para um bate-papo exatamente das expectativas a respeito da aplicação de sanções pela ANPD.
Gustavo Artese e Pedro Iório são sócios do Artese Advogados e especialistas em direito digital e proteção de dados pessoais.
