A Autoridade Nacional de Proteção de Dados (ANPD) pode começar a aplicar as sanções administrativas por violação da Lei Geral de Proteção de Dados (LGPD), que podem chegar a R$ 50 milhões. Por meio da Resolução nº 4, o órgão publicou ontem as regras para o cálculo das penas. Advogados, contudo, já alertam que, conforme os dispositivos forem interpretados, as empresas terão que recorrer ao Judiciário.
Em ao menos oito processos, a ANPD só esperava a edição dessas regras para aplicar as penalidades, como já havia apontado o diretor-presidente do órgão, Waldemar Gonçalves Ortunho Júnior. Após a entrada em vigor da Lei nº 13.709 (LGPD), em setembro de 2020, as fiscalizações começaram a ser realizadas - a ANPD já recebeu mais de 6,9 mil denúncias e 300 autodenúncias. Mas sem a chamada “dosimetria” das penas, as sanções administrativas não podiam ser aplicadas.
O que garante o efeito retroativo da Resolução nº 4 é o artigo 28 da norma. O dispositivo afirma que “as disposições constantes deste regulamento aplicam-se também aos processos administrativos em curso quando de sua entrada em vigor”.
Além de multa, segundo a Resolução nº 4, em caso de violação à LGPD, pode ser aplicada mera advertência, determinada a suspensão da atividade de tratamento de dados ou a obrigação de tornar pública a sanção, entre outras alternativas.
Para a ANPD determinar qual pena será imposta, a resolução traz a definição da infração pelo grau do dano: leve, média e grave. Será considerada média, por exemplo, se afetar direitos fundamentais dos titulares de dados pessoais ou impedir a utilização de um serviço, assim como ocasionar danos materiais ou morais aos titulares, como fraudes financeiras e discriminação. Caso não esteja disponível a informação referente ao ramo de atividade em que ocorreu a infração, a autoridade considerará o faturamento total do grupo ou conglomerado de empresas no Brasil.
A condição econômica do infrator pode agravar a pena ou ser um atenuante. Outros possíveis atenuantes, conforme a nova norma da ANPD, seriam a não reincidência, a boa-fé do infrator e a vantagem auferida ou pretendida com a infração.
Contudo, alguns conceitos não ficaram claros na regulamentação da ANPD, o que pode gerar judicialização, a não ser que novas normas venham trazer mais detalhes, segundo advogados. Patricia Peck destaca o conceito de reincidência genérica - que agrava a sanção aplicável.
Pela norma, seria o cometimento de infração pelo mesmo infrator, “independentemente do dispositivo legal ou regulamentar”, no período de cinco anos, contado do trânsito em julgado do processo administrativo até o cometimento da nova infração. Assim, na prática, teriam ocorrido duas infrações diferentes.
O conceito de grupo ou conglomerado, por ser muito amplo, também pode gerar discussões, afirma Patricia. “Se considerarem o faturamento do grupo econômico e não do CNPJ da empresa, por entender haver ali conexão de interesse, o valor da multa poderá aumentar”, diz. De acordo com a especialista, autoridades europeias têm feito isso. “A Resolução nº 4 sinaliza que Brasil seguirá essa tendência.”
A advogada também destaca que o conceito de infração grave ficou subjetivo. A norma fala em “número significativo de titulares” prejudicados.
“Não estipula uma porcentagem do total da base de titulares de dados, por exemplo, para a infração ser considerada grave, o que traz um alto grau de subjetividade na aplicação da sanção”, afirma.
Esses conceitos ainda em aberto serão um dos motivos que mais poderão levar as empresas ao Judiciário para questionar penas aplicadas, segundo Carla Couto e Patrícia Helena Marta Martins, sócias do TozziniFreire na área de Cyberseguranca e Data Privacy. “Quase a totalidade dos casos nos tribunais que discutem penas administrativas envolvem pedido de nulidade por cerceamento de defesa, produção de provas e forma de cálculo para definição do valor da multa”, diz Patrícia.
Importante destacar, acrescenta a advogada, que mais de 70% das multas aplicadas pela Secretaria Nacional do Consumidor (Senacon) e pelo Conselho Administrativo de Defesa Econômica (Cade), por exemplo, discutidas em juízo, são mantidas pelos tribunais. “Assim, deve-se esperar esse mesmo percentual em relação à ANPD.”
Já o advogado Felipe Palhares, sócio da área de Proteção de Dados e Cybersecurity do BMA Advogados, critica o fato de a resolução colocar como critério de infração média “o que ocasionar dano moral”. “O dano moral é muito subjetivo e, via de regra, é caracterizado pelo Judiciário, não em esfera administrativa”, diz.
O especialista aponta ainda o artigo que afirma que eventual multa ou sanção “não pode ser inferior ao dobro da vantagem econômica que o infrator obteve pela infração”. Para ele, será difícil fazer esse cálculo porque a vantagem econômica pode ser direta ou indireta. “Além disso, esse critério não está expresso na lei.”
Mas o que mais chamou a atenção de Palhares foi o artigo 27 da Resolução nº 4. Nele, a ANPD diz que pode afastar as regras da dosimetria, se entender que a intensidade da sanção seria menor do que a gravidade da infração. “A norma determina que a aplicação das sanções tem que ser motivada e fundamentada, mas o artigo 27, no final do dia, não garante segurança jurídica alguma”, afirma.
De positivo, o que os especialistas destacam da regulamentação é estar expresso que as demais agências reguladoras setoriais serão ouvidas pela ANPD para evitar entendimento distinto das autoridades. Lembram ainda que cabe recurso para discutir a sanção na esfera administrativa (Resolução nº 1, de 2021).
Além disso, o regulamento das sanções coloca a adoção reiterada e demonstrada de mecanismos e procedimentos capazes de minimizar o dano como um critério para minimizar as penas, segundo Júlia Shinohara, advogada especializada em LGPD do escritório BZCP. “Agora, a economia resultante da implantação de um projeto de adequação à LGPD sério, que até então era algo difícil de mensurar, se tornará algo mais concreto.”
Comments