Alexander Coelho
Sócio da Godke Advogados, especializado em direito digital e proteção de dados e membro da Comissão de Privacidade e Proteção de Dados da OAB/São Paulo
Inicialmente, cumpre esclarecer que dosimetria é a fixação da pena referente à prática de uma determinada infração. E para a fixação de uma pena, os parâmetros devem ser escritos e objetivos, de forma a atender aos mandamentos constitucionais do devido processo legal, contraditório e ampla defesa.
Importante lembrar que as sanções só serão aplicadas após o devido procedimento administrativo que possibilite a oportunidade da ampla defesa, de forma gradativa, isolada ou cumulativa, de acordo com as peculiaridades do caso concreto.
Pois bem, a Autoridade Nacional de Proteção de Dados (ANPD) faz uso da Agenda Regulatória, instrumento de planejamento que agrega as ações regulatórias prioritárias e que serão objeto de estudo ou de tratamento pela autoridade para o seu período de referência. A Agenda Regulatória busca conferir maior publicidade, previsibilidade, transparência e eficiência para o processo regulatório da ANPD, possibilitando o acompanhamento pela sociedade e trazendo maior segurança jurídica na relação com os agentes regulados.
Um dos temas de maior destaque da agenda é o regulamento de dosimetria e aplicação de sanções administrativas, uma vez que a Lei Geral de Proteção de Dados Pessoais (LGPD) determina que a ANPD deverá definir como ocorrerão as sanções administrativas às infrações à lei, bem como os critérios que orientarão o cálculo do valor das multas. O documento encontra-se em fase final de elaboração.
Em agosto de 2022, a ANPD abriu para consulta pública por 30 dias para envio de contribuições para o texto-base da dosimetria. Segundo a ANPD, foram enviadas 2.504 contribuições de diferentes segmentos da sociedade civil. Consequentemente, diante da alta demanda, a autoridade precisará de mais tempo para análise desse material e identificar quais são os pontos de melhoria do texto-base.
Nessa seara, destacamos que a ANPD tem feito um grande trabalho até aqui, uma vez que não é uma tarefa fácil iniciar um arcabouço normativo sobre um tema novo como a proteção de dados. São vários assuntos e diretrizes a serem definidos. Entretanto, para que se inicie, de fato, um procedimento administrativo para apuração de um incidente de segurança, como vazamento de dados, por exemplo, faz-se necessária a publicização da norma reguladora de dosimetria, garantindo assim o devido processo legal, o contraditório e a ampla defesa dos agentes regulados.
No início de novembro, a ANPD publicou a agenda regulatória para o biênio 2023-2024, na qual incluiu na fase 1 (inicial) o Regulamento de Dosimetria e Aplicação de Sanções Administrativas, cujo processo regulatório foi iniciado durante a vigência da agenda regulatória para o biênio 2021-2022. Isso significa o compromisso da ANPD com a publicação da norma reguladora da dosimetria para o início de 2023, ou seja, muito em breve teremos notícias das primeiras sanções aplicadas pela agência.
Diante desse cenário, podemos prever que tão logo ocorra a publicação da dosimetria no Diário Oficial da União e comecem as sanções e aplicações das multas por parte da ANPD, isso reverbere de tal forma no mercado em decorrência da publicização prevista na própria lei que deverá gerar uma grande corrida contra o tempo nas empresas para conclusão dos projetos de adequação, reparando os gaps detectados nas primeiras fases do projeto de adequação, ou ainda, até para aquelas empresas que ainda não deram “start” no seu programa de gestão de privacidade.
Vale lembrar que as últimas pesquisas na área de privacidade e proteção de dados pessoais, publicadas em agosto de 2022 – relacionadas ao cenário de 2021 –, indicavam a presença ainda incipiente nas empresas brasileiras de ações para a adequação à LGPD.
Observaram que em apenas 23% das empresas havia uma área ou pessoas responsáveis pelos assuntos relacionados à LGPD, sendo que em sua maioria essas empresas são de médio e grande portes. Já nas empresas de pequeno porte essa porcentagem diminui consideravelmente.
Um outro dado marcante trazido pela pesquisa é que apenas 15% das empresas informaram o contato do encarregado da proteção de dados no seu respectivo website, sendo que a nomeação do encarregado de dados da organização, responsável pela comunicação com os titulares dos dados e com a ANPD, é uma obrigação legal prevista no artigo 41 da lei.
Os resultados da pesquisa indicaram que há espaço para melhorar a sensibilização quanto ao tema entre empresas de todos os portes e segmentos de mercado. Ações mais complexas para garantir a transparência e a integridade dos processos de tratamento de dados pessoais têm presença embrionária entre as empresas, sendo importante monitorar quando a proteção de dados pessoais vai assumir a centralidade nas estratégias empresariais.
Ainda que a Lei Geral de Proteção de Dados seja recente, as empresas precisam tornar a proteção de dados pessoais uma constante em suas rotinas, uma vez que garantir o bom uso dos dados é cada vez mais central para a reputação da organização, para a promoção de uma boa relação com os clientes, bem como para evitar punições pecuniárias ou sanções operacionais restritivas que possam trazer danos irreversíveis ao negócio.