6 minute read
Baixa transParênCia
Um ponto que chama a atenção na atuação da Autoridade Nacional de Proteção de Dados é a baixa transparência. E isso ficou ainda mais evidenciado com o segredo com o qual a Autoridade vem tratando os processos administrativos já instaurados, especialmente os oito casos que já chegaram na etapa de sanções e, por isso mesmo, aguardavam o novo regulamento de dosimetria para avançar.
As informações sobre esses processos são escassas, sabendo-se apenas que eles envolvem o governo federal e vazamentos de dados. A ANPD, que reluta até para divulgar notas técnicas e, diferentemente de outras agências, não possui uma versão aberta do Sistema Eletrônico de Informações (SEI), se vale de uma leitura pra lá de curiosa para justificar o segredo: de que a publicidade é em si uma forma de punição.
É uma lógica que surpreende, como destaca o advogado, especialista em privacidade e integrante do Conselho Nacional de Proteção de Dados, Bruno Bioni. “A tão aguardada norma de dosimetria da ANPD saiu, mas com ela veio um ‘balde de água fria’: a notícia de que os processos serão sigilosos até segunda ordem.”
Segundo a ANPD, a transparência é “objeto de consulta à Procuradoria Federal Especializada, pois a publicização é uma das sanções previstas pela LGPD.” Como mencionado, é um argumento questionável diante da prática corriqueira de outras autarquias. Com exceção de trechos que podem municiar concorrentes, agências como Anatel [Agência Nacional de Telecomunicações] e CADE [Conselho Administrativo de Defesa Econômica] permitem acesso praticamente integral aos processos, mesmo antes de decisões definitivas. Mais do que isso, o próprio texto do regulamento de dosimetria e aplicação de sanções menciona que ainda que exista pena de dar publicidade à condenação pela ANPD, ela não equivale à publicização dos atos administrativos em si, como expressamente colocado no artigo 21 da norma: “a sanção de publicização da infração não se confunde com a publicação de decisão de aplicação de sanção administrativa no Diário Oficial da União ou com os demais atos realizados pela ANPD, para fins de atendimento ao princípio da publicidade administrativa.” nas infrações leves, 0,13% a 0,50% nas médias, e 0,45% a 1,5% nas graves. A LGPD já prevê que as multas podem chegar a 2% do faturamento, até o teto de R$ 50 milhões.
O regulamento classifica infrações em leves, médias ou graves. As leves são quando não forem verificadas nenhuma das hipóteses dos casos médios ou graves – lembrando que a LGPD já indicou que a escala de multas começa em R$ 1 mil para pessoas físicas e R$ 3 mil para pessoas jurídicas, no caso de infrações consideradas leves; médias e graves têm pena mínima de R$ 2 mil e R$ 4 mil para pessoas físicas, e de R$ 6 mil e R$ 12 mil para as empresas.
A partir daí, o regulamento traz uma tabela para definição do grau de dano, que vão de 0 (danos insignificantes aos titulares) a 3 (lesões com impactos irreversíveis ou de difícil reversão, ou litigância de má-fé), com os graus 1 e 2 relativos à escala progressiva do 0 a 3.
F Rmula Objetiva
Segundo o relator do regulamento de dosimetria, o conselheiro da ANPD Arthur Sabbat, o maior trabalho foi se chegar a uma fórmula objetiva, limitando a discricionariedade da entidade e dando a maior clareza possível aos agentes de tratamento de dados.
“O grande desafio foi quantificar de modo racional, matemático, como seria a classificação das infrações de acordo com a gravidade da violação à LGPD, a posterior metodologia de determinação de multas, diante dos direitos fundamentais. Mas quando se trata de direito fundamental, o desafio é tornar – e isso foi o que tentamos fazer –, deixar o mais objetivo possível. Por ser mais difícil de fugir dos critérios de discricionariedade”, destaca Sabbat.
“Quem vai aplicar, em princípio, a coordenação de fiscalização, precisava de regras mais exequíveis, facilmente mensuráveis, para poder aplicar e fugir das judicializações. Claro que em regras de sanções e dosimetrias sempre terá espaço para discricionariedade. Mas tentamos fugir ao máximo com aspectos mais objetivos possíveis, reduzindo a subjetividade e com parâmetros claros. Acredito que a norma ficou bastante clara, objetiva e racional. Acho muito difícil que alguém deixe de entender”, completa o relator.
Além das multas pecuniárias, a norma prevê medidas como publicização das condutas, bloqueio e eliminação de dados pessoais, suspensão parcial do funcionamento do banco de dados, suspensão do exercício de tratamento de dados, proibição parcial ou total das atividades relacionadas ao tratamento de dados. Reincidências e cumprimentos parciais de medidas ensejam aumentos de 5% a 90% no valor das multas aplicadas. Atenuantes podem reduzir
Responsável pela área que vai aplicar as sanções, o coordenador geral de fiscalização da ANPD, Fabrício Lopes, sustenta a ideia de que a regra é equilibrada. “A ideia é não cometer exageros na aplicação das sanções, nem adotar sanções muito brandas. A lógica é dosar a medida que a ANPD vai adotar. Com a dosimetria, a gente tem o último braço para a atuação repressiva completa. Já vínhamos atuando em orientação, temos processos preventivos instaurados com várias empresas, e por fim, oito processos sancionadores aguardando a dosimetria.”
Esses oito processos são casos que envolvem vazamentos de dados e o governo federal, ou ambos. E nesse ponto vale ressaltar que o poder tão aguardado e que agora a ANPD pode exercer efetivamente, de aplicar multas, não vale para o Poder Público. Segundo o coordenador de fiscalização da Autoridade, a diferença na forma de lidar com a adequação à proteção de dados no Poder Público tem relação direta com o fato de que o uso de dados nos governos não se trata de uma opção, mas obrigação.
“Normalmente, órgão público trata dados não porque gosta, mas porque é obrigado legalmente. Isso implica em limites o valor de 5% a 75%. Renúncia expressa ao direito de recorrer garante redução de 25%.
Como reafirmado pelo presidente da ANPD, Waldemar Gonçalves, a multa é “apenas uma das ferramentas à disposição da Autoridade para reconduzir o agente de tratamento de dados pessoais à conformidade com a LGPD”, e “o regulamento tem o objetivo de estabelecer parâmetros para que as sanções sejam aplicadas de forma justa e na dose certa.”
Segundo ele, o novo regulamento tem viés didático e critérios que garantem segurança jurídica aos agentes de tratamento de dados. “O objetivo é aprimorar o processo sancionador e a fiscalização, que vai permitir à ANPD uma evolução na atividade repressiva, respeitando o devido processo legal e o contraditório, proporcionando maior segurança jurídica e transparência para todos os envolvidos. A norma tem um viés bastante didático e uma racionalização do método de aplicação das punições. Além de ser orientadora para escolha da sanção mais apropriada a cada caso concreto, com proporcionalidade entre a sanção aplicada e a gravidade da conduta do agente.”
Na mesma linha, Arthur Sabbat ressalta que “é importante que toda a sociedade compreenda que o que a ANPD quer, com a resolução do processo administrador e esse fechamento do circuito com a regra de dosimetria, é que haja um esforço evidente no sentido de que haja conformidade com a LGPD, tanto por agentes públicos ou privados, um esforço de adequação à norma. O esforço maior é educativo, orientativo, para que se adquira a conformidade.”
Assim, “optou-se pelo modelo de tipificação indireta das sanções, possibilidade que advém do exercício do juízo discricionário da Autoridade na seara regulatória. Desse modo, não seria necessário exigir-se que a ANPD especifique todos os comportamentos ilícitos reconhecidos e as sanções aplicáveis a cada um deles.” • no que pode ser determinado de suspensão, bloqueio ou exclusão de dados. Mas estamos abertos à sanção de advertência com determinação de adoção de medidas corretivas, alguma obrigação de fazer ao órgão público, além da possibilidade de responsabilizar pessoalmente os dirigentes capazes de interferir no processo decisório do órgão”, diz Fabrício Lopes.
Ele sustenta, no entanto, que isso não significa que a Autoridade Nacional de Proteção de Dados não tem como cobrar e punir entes governamentais. Apenas que não há a sanção pecuniária. Mas a ANPD ainda pode causar constrangimento e, inclusive, responsabilizar quem estiver à frente dos órgãos eventualmente envolvidos em violações à LGPD.
“O fato de a ANPD não poder aplicar multa ao Poder Público não quer dizer que não tenha à disposição outros instrumentos para causar constrangimento aos órgãos públicos se necessário for. Há outras medidas, inclusive a possibilidade de eventualmente solicitar a responsabilização de dirigentes de órgãos que não tomem as atitudes necessárias”, ressalta Lopes.
Para o relator Arthur Sabbat, a própria publicidade de decisões da ANPD contra o Poder Público já tem força. “Existem outros tipos de sanções, que não multa simples ou diária, que podem servir de forte incentivo ao Poder Público. Uma sanção de advertência já tem peso grande. Significa que agentes públicos vão ser interna corporis procurados para se explicar diante do controlador. Ou no caso de uma sanção de publicização, como fica a imagem do órgão? Portanto, embora não sejam sanções pecuniárias, têm efeitos didáticos muito fortes para os órgãos públicos”, completa Sabbat.
