Vigência integral da LGPD

A proteção de dados no Brasil ganhou novos contornos com a lei Geral de Proteção de Dados, lei 13.709, de 14 de agosto de 2018 ("LGPD") ¹, buscou alinhamento aos principais marcos regulatórios mundiais, representando um importante e ambicioso passo para adequação ao movimento internacional. Ambicioso porque ao lado da regulação, empreendedores e empresários nacionais deverão adequar-se sem ressalvas ao novo modelo.

A LGPD entrou em vigor em setembro de 2020 em sua maior parte, restando para agosto de 2021 o início de vigência das sanções administrativas previstas na norma

Após longo lapso temporal (quase 3 anos!), a LGPD passou a ter vigência completa e integral, culminando com o início da vigência das normas relativas às sanções e penalidades administrativas - aqui inclusa a competência e poderes de fiscalização da Autoridade Nacional de Proteção de Dados ("ANPD"). Juridicamente, diz-se que a LGPD tem, a partir de agosto de 2021, vigência e eficácia plena (na sua integralidade das suas disposições), o que inclui tanto a devida estruturação da ANPD quando a possibilidade de efetiva aplicação das sanções administrativas estabelecidas na norma, devendo forçosamente as empresas refletirem e revisarem profundamente modelos, métodos e procedimentos de como são coletados e processados os dados pessoais de usuários e clientes.

Todas as empresas que direta ou indiretamente lidem ou tenham contato com dados pessoais, em suas mais distintas formas, apresentações ou materializações, estão obrigadas a implementar controles e estruturas de governança, tendo em vista que a LGPD regula a questão de tratamento de dados tendo como objetivo "proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural"  (existem entendimentos inclusive de que é possível ser Controlador sem sequer acessar ou visualizar os dados pessoais, isto é, sem sequer tratar dados pessoais de qualquer maneira). E para tanto, as empresas devem estar adequadas com a regulamentação (já deveriam, na prática), mantendo estruturas de governança e controles internos, até mesmo para atender demandas e solicitações dos titulares de dados ou mesmo da ANPD.

Naturalmente, o processo de adequação deve ser idealizado e realizado respeitando e segundo as melhores práticas de cada setor e ramo de negócios, considerando o modelo operação interno da operação, podendo envolver as mais distintas medidas, desde simplificados ajustes (para o regramento nacional caso a empresa já tenha globalmente se adequado ao Regulamento de Proteção de Dados Europeu (RGPD)), até um profundo mapeamento de fluxo de dados e relatórios revisão de contratos com fornecedores e prestadores de serviços, treinamentos de colaboradores, alcançando até o desenvolvimento de nova política de privacidade, sendo também necessária a nomeação de um Encarregado (posto similar ao "Data Protection Officer" (DPO) trazido pela General Data Protection Regulation (GDPR)), que atuará como um canal de comunicação entre os titulares de dados, a empresa e a ANPD, nos termos do art. 41 da LGPD.

A ANPD publicou, inclusive, orientações e esclarecimentos sobre a entrada em vigor das sanções administrativas, em formato de Perguntas e Respostas, que deverá certamente ser mantido atualizado.

As sanções administrativas estão previstas e reguladas nos arts. 52, 53 e 54 da LGPD, e contemplam hipóteses que vão desde a aplicação de advertência às entidades que cometerem infrações, com indicação de prazo para adoção de medidas corretivas, ou a determinação de efetiva eliminação dos dados sob tratamento, até a aplicação de multa de até 2% (dois por cento) do faturamento da empresa (multa limitada a R$ 50.000.000,00 (cinquenta milhões de reais) por infração) ². O cálculo das multas que vierem a ser aplicadas deverá considerar os parâmetros estabelecidos no art. 52 da LGPD, sendo que a metodologia para o cálculo ainda será submetida à Consulta Pública.

As sanções previstas na LGPD serão aplicadas, nos termos do § 1º do art. 52 ³, de forma gradativa, isolada ou cumulativa, de acordo com as peculiaridades do caso concreto e considerados determinados parâmetros e critérios, a saber:

a) gravidade e a natureza das infrações e dos direitos pessoais afetados; b) a boa-fé do infrator; c) a vantagem auferida ou pretendida pelo infrator; d) a condição econômica do infrator; e) reincidência; f) o grau do dano; g) a cooperação do infrator; h) a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados; i) a adoção de política de boas práticas e governança; j) a pronta adoção de medidas corretivas; e k) a proporcionalidade entre a gravidade da falta e a intensidade da sanção.

Contudo, importante destacar que ainda não foram estabelecidas regras procedimentais e internas da autoridade para orientar e regulamentar as ações de fiscalização. Neste sentido, aguarda-se que a ANPD edite regulamento próprio sobre sanções administrativas. Digno de destaque que a ANPD tem buscado firmar compromissos de cooperação com outros órgãos públicos, tais como Secretaria Nacional do Consumidor - SENACON e com o Conselho Administrativo de Defesa Econômica - CADE, visando desenvolvimento de atividades conjuntas em temas que gerem repercussões nas áreas de atuação dos órgãos envolvidos. O trabalho regulatório está em andamento e, em conformidade com sua agenda regulatória estabelecida no início de 2021, está em fase de conclusão a elaboração do Regulamento de Fiscalização e Aplicação de Sanções Administrativas da ANPD, que foi objeto de Consulta Pública entre 28 de maio e 28 de junho de 2021.

As sanções previstas na LGPD são aplicáveis a fatos ocorridos após 1º de agosto de 2021 ou para delitos de natureza continuada iniciados antes de tal data.

Cumpre destacar que a aplicação de penalidades por parte da Autoridade Nacional deverá respeitar princípios constitucionais e de direito administrativo, em especial, devendo sempre ser garantido o contraditório e a ampla defesa, inclusive com possibilidade dos devidos recursos administrativos, respeitando os termos da lei 9.784, de 29 de janeiro de 1999 ⁴ (dentre outras aplicáveis) e normativos e regulamentos que venham a ser expedidos pela ANPD.

Ainda dependendo de aprovação do texto da proposta de regulamento, está previsto no Regulamento em tramitação que ANPD atue com uma abordagem responsiva, ou seja, de maneira gradual, baseada no comportamento do regulado e alicerçada em um plano de monitoramento do setor que permita a priorização de temas segundo seu risco, gravidade, atualidade e relevância. Segundo informado na publicação acima, "a proposta de regulamento prevê etapas de monitoramento, orientação, prevenção e repressão de infrações, levando em consideração as informações recebidas a partir de reclamações, denúncias, representações e notificações de incidentes para estabelecer prioridades a serem incluídas na agenda de fiscalização."

O tema requer máxima atenção de empresários e empresas de modo geral, pois aplica-se a qualquer tratamento de dado, e não apenas ao ambiente digital, exigindo de todos tanto o trabalho de conhecimento e mapeamento dos dados tratados, quanto efetiva implementação de práticas, políticas e governança apropriada de privacidade e proteção de dados - o que inclui profundos trabalhos de treinamento e conscientização de equipes e colaboradores.

Vale lembrar que antes mesmo da preocupação com a possibilidade de sofrer aplicação de penalidades e multas administrativas, a entidade deve ter claros seus processos e trabalhar fortemente a conscientização desta nora "era de privacidade" que vivemos. E isso necessariamente passa pelo mapeamento do fluxo de dados pessoais em uma organização que deseja se adequar à LGPD até sua total estruturação, com um efetivo programa de governança em privacidade. Esse processo inclui etapas e fases determinadas para alcançar bons objetivos, e envolvem (a) mapeamento; (b) diagnóstico; (c) implementação; (d) treinamento; e (e) monitoramento. O processo todo deve contemplar a avaliação, desenvolvimento, implementação e gestão de controles que garantam a segurança dos dados pessoais e mitiguem riscos de violação dos mesmos.

A atuação da ANPD é orientada para a defesa dos direitos dos titulares de dados

Conforme indicado expressamente na publicação acima indicada, a ANPD expressamente alertou, nos termos do § 2º do art. 52, que "a aplicação das sanções previstas na LGPD não substitui a aplicação de sanções administrativas, civis ou penais definidas na lei 8.078, de 11 de setembro de 1990 (Código de Defesa do Consumidor) e em legislação específica. Assim, eventual atuação de outros órgãos públicos, como agências reguladoras ou órgãos de defesa do consumidor, deve se dar segundo as suas próprias competências, ao abrigo de suas legislações específicas.".

Reforçamos ser vital ter sempre em mente que a adequação legal e o planejamento são essenciais para manter a atividade regular e minimizar riscos jurídicos.

Por fim, lembramos que já foi criado e instituído pela ANPD um canal para comunicação e denúncias de infrações relacionadas ao descumprimento da LGPD.

---------

1 Lei 13.709, de 14 de agosto de 2018 - Lei Geral de Proteção de Dados Pessoais (LGPD). Acesso em 02.ago.2021