Background

Artigo - A resolução CD/ANPD 4/23 e o início da implementação da cultura de proteção de dados no Brasil - Por Mariana de Araújo Mendes Lima Di Pietro

É importante reconhecer que o Regulamento ainda deixa margem à insegurança jurídica, o que é natural em razão da pouca maturidade da Autoridade Nacional de Proteção de Dados.

A discussão a respeito da proteção de dados no Brasil não é algo recente. Desde a divulgação por Edward Snowden a respeito do monitoramento da então presidente do Brasil, Dilma Rousseff, e diversas autoridades do governo brasileiro, a discussão a respeito da proteção de dados ganhou espaço nos debates jurídicos no Brasil.

Desde então, a questão tratada inicialmente no Marco Civil da Internet vem se tornado cada vez mais relevante, sendo disciplinada especificamente pela Lei Geral de Proteção de Dados (lei 13.709/18). No entanto, mesmo após a entrada em vigor da Lei Geral de Proteção de Dados, a implementação de uma cultura de proteção de dados ainda é muito incipiente.

Talvez em razão da existência de vácuos normativos no que diz respeito às sanções em caso de violações às obrigações estipuladas pela Lei Geral de Proteção de Dados ou mesmo em razão da própria lei determinar em seu art. 53 que as sanções administrativas a serem aplicadas pela Autoridade Nacional de Proteção de Dados seriam previstas em regulamento próprio, o fato é que não se verificava uma grande preocupação por parte da sociedade quanto à observância às suas previsões legais.

O primeiro passo no sentido de se sancionarem administrativamente violações às obrigações trazidas pela Lei Geral de Proteção de Dados foi a aprovação do Regulamento do Processo de Fiscalização e do Processo Administrativo Sancionador no âmbito da Autoridade Nacional de Proteção de Dados (Resolução CD/ ANPD 1, de 28 de outubro de 2021)1, disciplinando o processo administrativo de fiscalização e imposição de sanções no âmbito da Autoridade Nacional de Proteção de Dados.

Assim, desde 2021 é possível alegar que há normas que disciplinam o processo sancionatório em matéria de proteção de dados no Brasil. No entanto, tal Regulamento não trata das sanções aplicáveis, limitando-se a regular o processo sancionatório em si. Por esse motivo, ainda não existia um sentimento de obrigatoriedade no que diz respeito à proteção de dados no Brasil, ainda que a inobservância a tais preceitos legais tivesse consequências, principalmente no que diz respeito a danos reputacionais e problemas com parceiros de negócios.

Foi nesse cenário que a Autoridade Nacional de Proteção de Dados aprovou o Regulamento de Dosimetria e Aplicação de Sanções Administrativas (Resolução CD/ANPD 4, de 24 de fevereiro de 2023)2, publicado no Diário Oficial da União em 27 de fevereiro de 2023. Tal Regulamento é o último passo para que a entidade possa aplicar sanções aos responsáveis por infrações no que diz respeito à proteção de dados no país.

De modo geral, o Regulamento aponta para uma tendência da Autoridade Nacional de Proteção de Dados de agir de modo didático, com o propósito de implementar uma cultura de proteção de dados no país, em vez de simplesmente aplicar sanções.

Assim, alterou-se o Regulamento do Processo de Fiscalização e do Processo Administrativo Sancionador no âmbito da Autoridade Nacional de Proteção de Dados de modo que o não atendimento de medida preventiva imposta pela Autoridade Nacional de Proteção de Dados passou a ser considerado circunstância agravante em caso de instauração de processo administrativo sancionador. Por outro lado, o Regulamento prevê a imposição de multa apenas nas hipóteses de o infrator não ter adotado as medidas preventivas ou corretivas a ele impostas ou de se tratar de uma infração grave. Ou seja, a Autoridade Nacional de Proteção de Dados fez uma clara opção no sentido de impor aos infratores a obrigação de se adequarem às normas que tratam da proteção de dados, dando uma oportunidade para que os infratores desenvolvam uma cultura de proteção de dados antes de aplicar sanções pecuniárias, exceto no caso de infrações graves.

No que diz respeito à gravidade das infrações, o Regulamento as classificou em 3 (três) diferentes grupos: leve, média e grave.

Basicamente, a infração leve pode ser considerada aquela em que não há potencial de afetar significativamente interesses ou direitos fundamentais dos titulares de dados, não se verificando qualquer dano material ou moral.

As infrações médias, por sua vez, são aquelas com potencial de afetar significativamente interesses e direitos fundamentais dos titulares de dados, assim como ocasionar danos materiais ou morais aos titulares.

Quando uma infração média envolver tratamento de dados pessoais em larga escala, tiver potencial de gerar vantagem econômica ao infrator, implicar risco à vida dos titulares, envolver tratamento de dados sensíveis de crianças, adolescentes ou idosos, o tratamento de dados não tiver amparo em uma das bases legais previstas na LGPD, o infrator realizar tratamento com efeitos discriminatórios ou abusivos ou for verificada a adoção sistemática de práticas irregulares pelo infrator, a infração será considerada grave.

Tendo em vista as hipóteses agravantes acima mencionadas, é possível compreender o maior rigor no modo como a Autoridade Nacional de Proteção de Dados procurou disciplinar as infrações em que tais circunstâncias podem ser verificadas.

Por outro lado, vale mencionar que a adoção de conceitos demasiadamente abertos pela Autoridade Nacional de Proteção de Dados, tais como "tratamento de dados pessoais em larga escala" e "tratamento com efeitos discriminatórios ou abusivos", principalmente em se tratando de circunstâncias agravantes, tem sido muito criticada3. No entanto, é importante levar em consideração que a Autoridade Nacional de Proteção de Dados é um órgão muito recente e que ainda carece de experiência no que diz respeito a parâmetros no que diz respeito à proteção de dados dentro do contexto brasileiro, tal como ocorre em relação a todos os profissionais que atuam na área. Mesmo países europeus, que têm maior experiência no que diz respeito a normas de proteção de dados, encontram dificuldades em definir conceitos como "tratamento de dados pessoais em larga escala", reconhecendo que entre o tratamento de dados por um médico e o tratamento de dados de um país inteiro há uma grande zona cinzenta4.

A tendência é que ao longo do tempo, a partir da conclusão de processos administrativos envolvendo infrações às normas de proteção de dados, a jurisprudência administrativa venha a estabelecer parâmetros objetivos. Até então, resta aos agentes de tratamento de dados levar em consideração a experiência de autoridades nacionais estrangeiras, especialmente europeias, uma vez que a Lei Geral de Proteção de Dados foi fortemente influenciada pela General Data Protection Rules (GDPR) europeia.

Conclusão

Desse modo, é possível que o Regulamento venha a efetivamente inaugurar uma cultura de proteção de dados mais intensa no Brasil, considerando o caráter primordialmente didático do procedimento administrativo sancionatório estabelecido pela Autoridade Nacional de Proteção de Dados. Por outro lado, é importante reconhecer que o Regulamento ainda deixa margem à insegurança jurídica, o que é natural em razão da pouca maturidade da Autoridade Nacional de Proteção de Dados e pouca experiência do tema pelos profissionais que atuam no contexto jurídico nacional.

----------

1 Resolução CD/ANPD 1/21. Aprova o Regulamento do Processo de Fiscalização e do Processo Administrativo Sancionador no âmbito da Autoridade Nacional de Proteção de Dados. Disponível em https://www.gov.br/anpd/pt-br/documentos-e-publicacoes/regulamentacoes-da-anpd/resolucao-cd-anpd-no1-2021 . Acesso em 13/4/23.

2 Resolução CD/ANPD 4, de 24 de fevereiro de 2023. Aprova o Regulamento de Dosimetria e Aplicação de Sanções Administrativas. Disponível em https://www.in.gov.br/en/web/dou/-/resolucao-cd/anpd-n-4-de-24-de-fevereiro-de-2023-466146077 . Acesso em 13/4/23.

3 Vide: Desafios relacionados ao regulamento de dosimetria da ANPD Regulamentação possibilita início das sanções previstas na LGPD, mas ainda restam lacunas importantes. Disponível em https://www.jota.info/opiniao-e-analise/artigos/desafios-relacionados-ao-regulamento-de-dosimetria-da-anpd-15032023. Acesso em 13/4/23.

4 RGPD: O TRATAMENTO DE DADOS PESSOAIS EM GRANDE ESCALA E OS ENCARREGADOS DA PROTECÇÃO DE DADOS (EPD). Disponível em https://www.ccip.pt/pt/newsletter-internacional/1493-rgpd-o-tratamento-de-dados-pessoais-em-grande-escala-e-os-encarregados-da-proteccao-de-dados-epd. Acesso em 13/4/23.

Fonte: Migalhas