Quatro anos após a publicação da Lei Geral de Proteção de Dados (LGPD), ainda não se sabe como a Autoridade Nacional de Proteção de Dados (ANPD) irá calcular e aplicar as sanções administrativas por violação da norma. Enquanto aguardam o texto final da chamada “dosimetria das penas”, as empresas tentam se precaver, checando com as equipes de governança, compliance ou escritórios de advocacia se os processos adotados até agora para a adequação à lei são eficientes.
A preocupação existe porque, com a regulamentação da dosimetria, passa a poder ser aplicada uma multa que pode chegar a 2% do faturamento, limitado ao teto de R$ 50 milhões, e persiste a dúvida se haverá efeito retroativo. No Judiciário, até agora, os valores aplicados por infração à LGPD são baixos. Levantamento do escritório Opice Blum, Bruno e Vainzof Advogados, com base em julgados de 2021, mostra que variaram entre R$ 2 mil e R$ 10 mil.
Uma minuta elaborada pela ANPD para a regulamentação das sanções administrativas da Lei nº 13.709, de 2018, foi colocada sob consulta pública, entre 16 de agosto a 15 de setembro. Nesse período, foram apresentadas mais de 2,5 mil sugestões, principalmente de advogados e entidades de classe. Agora, um novo texto está sendo redigido.
“Equilíbrio, devido processo legal e transparência fazem parte do que tentamos construir na ANPD e, com as sanções, vai ser assim também”, diz Miriam Wimmer, uma das diretoras do Conselho Diretor da autoridade.
A falta de uma definição, porém, afirma Roberta Gamenho Campos Guedes, gera inquietação entre as empresas. “O que mais dá aflição é que não sabemos o que significa a classificação de risco leve, médio ou grave e é conforme a gravidade que definiremos se o risco é reputacional ou financeiro”, diz. “Estamos no ponto da governança da LGPD, atentos não só à penalidade, mas à reputação da empresa.”
Ela acrescenta que, normalmente, se existe risco baixo, “monitoramos e tratamos, mas a atividade segue”. “Sempre vou analisar o que o risco vai trazer à minha organização, traduzindo em números, para a tomada de decisão pelo C-level, mas hoje [sem a dosimetria] só temos suposições”, explica.
Para Roberta, além do impacto reputacional e financeiro, a dosimetria também poderá se refletir na inovação. “No ecossistema do open finance, por exemplo, quem souber utilizar os dados, com os regulatórios aplicados, monitorando os possíveis riscos, vai criar melhores produtos”, diz.
Na fabricante de autopeças Benteler, que está na fase de auditoria com a área de compliance para ver se “gaps” identificados na fase de mapeamento foram sanados, a preocupação é a subjetividade do texto que foi à consulta pública. “Falta clareza nas situações, há conceitos vagos como larga escala e vantagem auferida”, afirma Vanessa Cereser de Oliveira Bismarchi, Senior Manager of Legal Affairs | Data Protection Officer (DPO) da empresa. “Isso traz insegurança sobre a razoabilidade e proporcionalidade de cada sanção.”
De acordo com o advogado e especialista em LGPD Danilo Doneda, “praticamente nada entraria como sanção leve com base no texto original da minuta”. Toda infração seria média ou grave. Os critérios para a aplicação da sanção leve, média ou grave, diz, não estão claros. “Se permanecer essa falta de clareza, as sanções serão judicializadas.”
A ANPD, segundo a diretora do órgão, Miriam Wimmer, quer que o novo texto confira segurança jurídica e previsibilidade para a definição de quais sanções serão aplicadas e em quais casos. “Para ninguém ficar a cargo do fiscal de plantão.”
Miriam afirma também que a abordagem da ANPD na aplicação da dosimetria será responsiva, proporcional à conduta. “Primeiro a ideia é de monitoramento do setor, dar oportunidade para o ente se corrigir e, no topo, estará a possibilidade de aplicação de sanções administrativas”, diz.
A diretora acrescenta que o interesse da ANPD não é arrecadar, mas proteger dados. “Se constatado um ilícito pode haver aplicação de sanção, mas, no lugar, também poderá haver medidas corretivas.”
A recente transformação da ANPD em uma autarquia (Medida Provisória nº 1.124/22) também pode trazer impacto positivo para a atuação do órgão, segundo Miriam. “Passar a ser uma autarquia traz uma confiança maior de que a ANPD se pautará em parâmetros técnicos e estará inserida no cenário global”, afirma. Hoje, há cerca de 80 servidores e mais 20 terceirizados no órgão.
Renato Opice Blum, sócio da banca que fez o estudo jurisprudencial, diz que já há processos administrativos instaurados contra empresas, embora ainda sem conclusão. “Por isso, a procura do mercado atualmente é de revisão de todos os processos de adequação à LGPD”, afirma. “Apesar de ataques de ramsoware continuarem acontecendo, a comprovação dos processos de adequação à lei será importante para a atenuação de eventuais sanções.”
Sobre a possível retroatividade da aplicação das sanções administrativas, Opice Blum diz que, se isso prejudicar a ampla defesa, será judicializado. “Porque pode impactar a apuração das evidências de um incidente de maneira profunda”, afirma. “Eventual aplicação de sanção com efeito retroativo deve ficar, no máximo, no nível da advertência.”
Comments