A Lei Geral de Proteção de Dados Pessoais (LGPD) entra totalmente em vigor no próximo dia 1º de agosto, com as sanções administrativas passando a ser aplicáveis pela Autoridade Nacional de Proteção de Dados (ANPD). Tais sanções podem variar desde uma advertência até a aplicação de multas de até 2% do faturamento da pessoa jurídica (até um limite de R$ 50 milhões de reais), bem como a proibição parcial ou total das atividades relacionadas ao tratamento de dados.
Em muitas empresas o clima é de apreensão, similar à vivida no final de 1999, quando se pensava que o mundo deixaria de funcionar devido ao "bug do milênio". No entanto, uma questão pouco lembrada é que, de acordo com o artigo 53 da LGPD, a ANPD deverá primeiro definir as metodologias que orientarão o cálculo do valor-base das sanções de multa por meio de regulamento. Tais metodologias deverão conter fundamentação detalhada de todos os seus elementos e demonstrar a observância dos critérios previstos na LGPD.
A ANPD tem atuado com rapidez desde que foi finalmente criada e, de modo a atender a tal artigo, iniciou ainda no final de maio de 2021 consulta pública sobre normas de fiscalização – processo que culminou na elaboração de uma minuta de resolução. Esta minuta foi então discutida em audiência pública realizada online nos últimos dias 15 e 16 de julho.
A extensa minuta (77 artigos, mais do que a própria LGPD) traz diversos pontos positivos, como o estabelecimento de importantes premissas para a fiscalização da ANPD, incluindo uma atuação responsiva (isto é, preventiva e orientativa, com adoção de medidas proporcionais aos riscos e à postura dos investigados, em vez de predominantemente punitiva), com estímulo à conciliação direta entre as partes, e o foco na promoção de uma cultura de proteção de dados pessoais. Neste sentido, a minuta também previu a possibilidade de que o autuado apresente proposta de celebração de termo de ajustamento de conduta (TAC).
Estes pontos da minuta estão alinhados com o afirmado publicamente pelo diretor-presidente da ANPD, Waldemar Gonçalves, que ao menos num período inicial o foco da ANPD seria a orientação de titulares e empresas, com ênfase no uso de advertências com prazo para que eventuais autuados possam se adequar, e que não deverá haver uma "indústria de multas".
No entanto, a minuta apresentada ainda precisa ser plenamente adequada ao art. 53 da LGPD. Não há no texto apresentado qualquer metodologia a ser utilizada para aplicação de multas, nem qual seriam circunstâncias agravantes e atenuantes para a aplicação de sanções.
Em particular, o art. 30 merece uma discussão mais aprofundada. Este artigo propõe classificar as empresas em quatro faixas e determina que a atuação da ANPD seria mais rígida de acordo com a faixa ocupada pela empresa: para a primeira, não haveria a adoção de medidas; para a última, haveria a adoção de medidas preventivas ou repressivas. O problema é que a minuta não determina quais seriam os critérios para a classificação das empresas nestas quatro faixas, deixando-os para portaria que seria expedida posteriormente, sem ser debatida pela sociedade. Outro ponto que também não ficou claro é se a classificação de cada empresa seria divulgada publicamente ou não, nem como uma empresa poderia questionar sua classificação.
Essas falhas não diminuem o bom trabalho realizado até o momento pela ANPD, que após mais de dois anos de atraso em sua criação tem atuado com rapidez ímpar, emitido orientações e realizando diversas audiências públicas e tomadas de subsídios com o público em geral. Por isso mesmo é preciso que a autoridade busque adequar a minuta, levando em consideração os pontos apontados nas audiências dos dias 15 e 16, antes de dar início à aplicação das sanções administrativas (especialmente as de caráter punitivo).
Marcelo Cárgano, advogado da área de regulação e proteção de dados pessoais e privacidade do escritório Abe Giovanini Advogados.
DATA PROTECTION FORUM
A TI INSIDE realiza nas manhãs dos dias 25 e 26 de agosto, a 4a edição da Data Protection Forum. Mais informações e inscrições no site https://dataprotectionforum.com.br/ ou pelo telefone/whatsapp 11-3138-4619 ou info@tiinside.com.br