COLUNAS

  1. Home >
  2. Colunas >
  3. Migalhas de IA e Proteção de Dados >
  4. A Autoridade Nacional de Proteção de Dados (ANPD): Entre sanção e fiscalização

A Autoridade Nacional de Proteção de Dados (ANPD): Entre sanção e fiscalização

sexta-feira, 5 de novembro de 2021

Atualizado às 07:34

O tema da proteção de dados é cada vez mais discutido nos diversos setores da sociedade. Esse interesse ocorre porque há uma maior consciência de que o uso indevido de dados pode acarretar severos danos, bem como em função dos cada vez mais comuns vazamentos de dados noticiados pelas mídias. É nesse cenário que surgiu a Lei Geral de Proteção de Dados no Brasil, em vigor desde setembro de 2020.

Uma das novidades trazidas com o surgimento da LGPD é a criação da Autoridade Nacional de Proteção de Dados (ANPD), órgão responsável pela fiscalização da referida Lei. Por se tratar, todavia, de uma lei nova, surgem questionamentos sobre quais seriam os seus limites de atuação. Diante desse cenário de dúvidas, o presente artigo busca analisar o papel da ANPD, examinando quais seriam os limites dos seus poderes fiscalizador e sancionador.

Cabe fazer, inicialmente, uma breve conceituação da ANPD. Nos termos do artigo 5º, inciso XIX, da LGPD, trata-se de órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento da LGPD em todo o território nacional.1 O estabelecimento de uma autoridade verdadeiramente independente, autônoma e com corpo técnico qualificado é o desafio fundamental para que a regulação do tema ocorra de forma apropriada.2

Em 27 de agosto de 2020, foi publicado o decreto 10.474/2020, que aprovou a Estrutura Regimental e o Quadro Demonstrativo dos Cargos em Comissão e das Funções de Confiança da ANPD. Tal decreto, no seu artigo primeiro, reiterou a característica de autonomia técnica e decisória da autoridade nacional.3 Por fim, em 20 de outubro de 2020, o Plenário do Senado aprovou, após sabatina, os nomes indicados pelo governo para compor a primeira diretoria da ANPD.

Quanto à sua estrutura, a ANPD é composta, nos termos do art. 55-C da LGPD, de um Conselho Diretor; um Conselho Nacional de Proteção de Dados Pessoais e da Privacidade; corregedoria; ouvidoria; órgão de assessoramento jurídico próprio; e unidades administrativas e especializadas necessárias à aplicação do disposto na LGPD.

A criação da ANPD pode garantir ao Brasil a condição de se inserir no mercado informacional em igualdade de condições, já que suas empresas poderão receber informações de outros países que adotem a lei de proteção de dados pessoais quando necessário para sua atuação.4 Nesse sentido, o fluxo livre de dados pessoais entre o Brasil e os países do bloco europeu poderia, inclusive, facilitar o ingresso do país na OCDE - Organização para a Cooperação e Desenvolvimento Econômico.5

No que concerne ao seu poder fiscalizador, cabe destacar que recentemente, no final de outubro de 2021, foi aprovado o Regulamento de Fiscalização e Aplicação de Sanções Administrativas, através da Resolução CD/ANPD Nº 1º/2021. Destaca-se o parágrafo único do artigo 16 dessa Resolução, que afirma que a fiscalização da ANPD promoverá o conhecimento das normas e das políticas públicas sobre proteção de dados pessoais e das medidas de segurança, de forma a disseminar boas práticas, nos termos da LGPD, sem prejuízo de eventual sanção administrativa em caso de descumprimento da Lei.6

A respeito dessa questão de boas práticas, a ANPD, no intuito de orientar para que haja um efetivo tratamento dos dados pessoais, disponibilizou, recentemente, Guia de Boas Práticas para Implementação na Administração Pública Federal7, cartilhas de Segurança para a Internet8 e Guia Orientativo para Definições dos Agentes de Tratamento de Dados Pessoais e do Encarregado9. Trata-se, pois, de uma atuação preventiva da autoridade nacional, com o objetivo de implementar medidas de boas práticas e governança, a fim de que haja uma adequação à LGPD.

Ressalta-se ainda que a ANPD exerce o papel de órgão central, sendo lhe atribuída não apenas a primazia na uniformização de conceitos, na interpretação e na aplicação na LGPD, mas também um papel construtivo com outros órgãos públicos com competências correlatas.10

A esse respeito, o artigo 2, § 3º, do Decreto 10.474/2020, prevê um dever de coordenação entre a ANPD e os órgãos e entidades públicos responsáveis pela regulação de setores específicos da atividade econômica e governamental, com o objetivo de assegurar o cumprimento de suas atribuições e o tratamento de dados pessoais.11

Isso já está ocorrendo: nesse sentido, a ANPD e a Secretaria Nacional do Consumidor (SENACON) firmaram um acordo de cooperação técnica que tem por objetivo proteger os dados do consumidor no Brasil, no qual as duas entidades pretendem alinhar esforços e reforçar as fiscalizações, de forma a evitar incidentes de segurança.12 Tal cooperação já está dando resultado: após recomendação destes órgãos, o Whatsapp se comprometeu a realizar algumas mudanças em sua política de privacidade direcionada aos usuários brasileiros, que previa originalmente o compartilhamento de mais dados com o Facebook.13

Outro convênio realizado foi com o Conselho Administrativo de Defesa Econômica (CADE), em que foi assinado um Acordo de Cooperação Técnica, com o objetivo de combater as atividades lesivas à ordem econômica e incentivar a disseminação da cultura da livre concorrência nos serviços que exigirem a proteção de dados pessoais.14

E quanto ao seu papel sancionador?

O artigo 52 da LGPD estabelece que controlador e o operador ficam sujeitos às sanções administrativas aplicáveis pela autoridade nacional em razão das infrações cometidas às normas previstas. Nesse ponto, fica clara a intenção de atribuir centralidade a um único órgão, em nível federal, a fim de que se possa fazer valer as regras da LGPD.15 As sanções aplicáveis podem ser, por exemplo, desde advertências, com indicação de prazo para adoção de medidas corretivas, até multa simples, de até 2% do faturamento, limitada a R$ 50.000.000,00, e proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados. A fim de se evitar uma "indústria da multa", em que o órgão que aplicaria a sanção estaria "interessado" no proveito econômico dessa penalidade, o produto da arrecadação das multas aplicadas pela ANPD será destinado ao Fundo de Defesa de Direitos Difusos16, nos termos do artigo 52, § 5º, da LGPD.

Tendo em vista que a ANPD inicia sua atuação sancionadora após a aprovação do Regulamento de Fiscalização e de Aplicação de Sanções Administrativas e que a resolução que a aprovou foi publicada em 29 de outubro de 2021, a Autoridade ainda não aplicou nenhuma multa administrativa. Por outro lado, na União Europeia, em que o Regulamento Geral de Proteção de Dados entrou em vigor em 2018, já há diversos casos com condenação pelo tratamento indevido de dados. Recentemente, a Amazon foi multada em 746 milhões de euros - recorde na União Europeia - por não estar em conformidade com o RGPD.17

Além disso, cabe destacar que a multa aplicada pela ANPD pode ser cumulada com a de outros órgãos, como a do SENACON, observadas as suas competências. Nesse sentido, os § 2º e § 3º do artigo 52, da LGPD, são claros ao afirmar, respectivamente, que as sanções podem ser aplicadas de forma cumulativa e que o seu dispositivo não substitui a aplicação de sanções administrativas, civis ou penais definidas na lei 8.078/1990 (Código de Defesa do Consumidor), e em legislação específica.18 Nesse mesmo sentido, o CDC ressalta, no seu artigo 56, que "as infrações das normas de defesa do consumidor ficam sujeitas, conforme o caso, às seguintes sanções administrativas, sem prejuízo das de natureza civil, penal e das definidas em normas específicas."

Oportuno ressaltar que a aplicação de multa será utilizada como última alternativa, conforme afirmado pelo próprio Diretor-Presidente do Conselho Diretor da ANPD ao ser sabatinado pela Comissão de Infraestrutura do Senado.19

Assim, pode-se afirmar que a autoridade nacional somente deverá utilizar o seu poder sancionador quando o seu poder fiscalizador não for suficiente para que haja conformidade à LGPD. Desse modo, espera-se que tal poder seja utilizado de forma prudente, pois será um sinal de que os agentes - tanto públicos, quanto privados - estarão buscando a adequação à cultura da proteção de dados. Contudo, se depender do bom começo de atuação da ANPD, que, embora tenha sido nomeada apenas recentemente, já está cumprindo com seu papel fiscalizador, a tendência é que o poder sancionador não seja de fato tão aplicado.

*Rafael Dresch é mestre pela UFRGS em Direito Privado. Doutor em Direito na PUC/RS, com estágio doutoral na University of Edinburgh/UK, Pós-doutor na University of Illinois/US e professor da UFRGS. Sócio-fundador do Coulon, Dresch e Masina Advogados. Associado Fundador do IAPD - Instituto Avançado de Proteção de Dados. Linkedin: https://www.linkedin.com/in/rafaeldresch/ | Instagram: @dreschrafael.

**Gustavo da Silva Melo é mestrando em direito civil e empresarial pela Universidade Federal do Rio Grande do Sul - UFRGS. Especialista em responsabilidade civil, contratos e direito imobiliário pela PUCRS. Graduado em Ciência Jurídicas e Sociais pela UFRGS. Advogado.

__________

1 XIX - autoridade nacional: órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento desta Lei em todo o território nacional.  

2 TEFFÉ, Chiara Spadaccini de; VIOLA, Mário. Proposta para a criação da Autoridade Brasileira de Proteção aos Dados Pessoais. Instituto de Tecnologia & Sociedade do Rio. Disponível aqui. Acesso em: 18 ago. 2021.

3 Art. 1º A Autoridade Nacional de Proteção de Dados - ANPD, órgão integrante da Presidência da República, dotada de autonomia técnica e decisória, com jurisdição no território nacional e com sede e foro no Distrito Federal, tem o objetivo de proteger os direitos fundamentais de liberdade e privacidade e o livre desenvolvimento da personalidade da pessoa natural, orientada pelo disposto na lei 13.709, de 14 de agosto de 2018.

4 LIMA, Cíntia Rosa Pereira de. Autoridade nacional de proteção de dados e a efetividade da Lei Geral de Proteção de Dados: de acordo com a Lei Geral de Proteção de Dados (lei 13.709/2018 e as alterações da lei 13.853/2019), o Marco Civil da Internet (lei 12.965/2014) e as sugestões de alteração do CDC (PL 3.514/2015). São Paulo: Almedina, 2020, p. 304.

5 DONEDA, Danilo. A Autoridade Nacional de Proteção de Dados e o Conselho Nacional de Proteção de Dados. In: BIONI, Bruno et al. (Org.). Tratado de Proteção de Dados Pessoais. 1ª ed. São Paulo: Editora Forense, 2020. E-book.

6 Parágrafo único. A fiscalização da ANPD promoverá, junto aos titulares de dados e aos agentes de tratamento, o conhecimento das normas e das políticas públicas sobre proteção de dados pessoais e das medidas de segurança, de forma a disseminar boas práticas, nos termos da LGPD. In: BRASIL. ANPD. Resolução CD/ANPD Nº 1, de 28 de outubro de 2021. Disponível aqui. Acesso em: 04 nov. 2021.

7 Disponível aqui.

8 Disponível aqui.

9 Disponível aqui.

10 WIMMER, Miriam. Os desafios da enforcement na LGPD: fiscalização, aplicação de sanções administrativas e coordenação intergovernamental. In: BIONI, Bruno et al. (Org.). Tratado de Proteção de Dados Pessoais. 1ª ed. São Paulo: Editora Forense, 2020. E-book.

11 § 3º A ANPD e os órgãos e entidades públicos responsáveis pela regulação de setores específicos da atividade econômica e governamental devem coordenar suas atividades, nas respectivas esferas de atuação, com vistas a assegurar o cumprimento de suas atribuições com a maior eficiência e promover o adequado funcionamento dos setores regulados, conforme legislação específica, e o tratamento de dados pessoais, na forma da lei 13.709, de 2018.

12 PEDUZZI, Pedro. Senacon e ANPD assinam acordo para proteção de dados do consumidor. Agência Brasil, 22 mar. de 2021. Disponível aqui. Acesso em: 25 ago. de 2021.

13 G1. WhatsApp deve atualizar política de privacidade no Brasil após pedidos de órgãos públicos. Disponível aqui. Acesso em: 25 ago. de 2021.

14 BRASIL. ANPD. ANPD e CADE assinam Acordo de Cooperação Técnica. Disponível aqui. Acesso em: 30 ago. de 2021.

15 WIMMER, Miriam. Os desafios da enforcement na LGPD: fiscalização, aplicação de sanções administrativas e e coordenação intergovernamental. In: BIONI, Bruno et al. (Org.). Tratado de Proteção de Dados Pessoais. 1ª ed. São Paulo: Editora Forense, 2020. E-book.

16 LIMA, Cíntia Rosa Pereira de. As funções da autoridade nacional de proteção de dados e as sanções previstas na LGPD. In:  FRANCOSKI, Denise de Souza Luiz; TASSO, Fernando Antônio (Coords.). A Lei Geral de Proteção de Dados Pessoais: LGPD - Ed. 2021. São Paulo: Revista dos Tribunais. E-book.

17 LEGGETT, Theo. Amazon hit with $886m fine for alleged data law breach. BBC, 30 jul. de 2021. Disponível aqui. Acesso em: 17 ago. de 2021. 

18 § 1º As sanções serão aplicadas após procedimento administrativo que possibilite a oportunidade da ampla defesa, de forma gradativa, isolada ou cumulativa, de acordo com as peculiaridades do caso concreto e considerados os seguintes parâmetros e critérios: (...)

§ 2º O disposto neste artigo não substitui a aplicação de sanções administrativas, civis ou penais definidas na Lei nº 8.078, de 11 de setembro de 1990, e em legislação específica.

19 MELO, Karine. Indicado à Agência Proteção de Dados destaca dever de proteger cidadão. Agência Brasil, 19 out. de 2021. Disponível aqui. Acesso em: 26 ago. de 2021.