O regulamento com critérios para punições era a única parte que faltava para o arcabouço montado pela Autoridade Nacional de Proteção de Dados (ANPD) desde que foi constituída, em 2019, após uma MP e a Lei Geral de Proteção de Dados (LGPD). A dosimetria para as sanções finalmente veio em fevereiro de 2023, com as informações do que levariam as infrações a serem consideradas como leves, médias ou graves e cada possível punição. De modo geral, o texto foi bem recebido pela empresas, apesar da dúvida sobre um dos artigos, o 27. Agora, cabe às companhias adaptar sua governança cibernética para evitar as sanções.
Entre as possíveis punições, estão advertência; multa simples, de até 2% do faturamento da empresa, com limite máximo de R$ 50 milhões por infração; multa diária, com limite de R$ 50 milhões; publicização da infração; bloqueio ou eliminação dos dados pessoais; suspensão parcial ou total do funcionamento do banco de dados por até seis meses, prorrogável por outros seis, até que se regularize a situação; e proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
Leia mais sobre governança corporativa e ESG
Já entre os critérios considerados para definir a aplicação, estão: gravidade da infração, se houve reincidência, vantagem pretendida pelo autor, grau do dano, cooperação do infrator, adoção de mecanismos e procedimentos internos capazes de minimizar o dano; adoção de política de boas práticas de governança e pronta adoção de medidas corretivas.
Os critérios foram considerados adequados pelos especialistas ouvidos pelo Estadão. “A ANPD sempre veio num tom e num comportamento apropriado, para primeiro se estruturar, ser muito transparente, trazer às empresas para um diálogo, criar uma cultura, e só depois começar a sancionar. Em geral, o que foi colocado antes nas discussões estava refletido no regulamento”, afirma Carlos Lima, sócio da prática de Privacy da Deloitte.
Outro ponto em que a ANPD prestou atenção foi no tamanho total dos grupos econômicos, para evitar que braços menores de empresas maiores fossem usados para ter o faturamento como referência. “Prestou-se atenção no grupo econômico que age com interesse comum, ainda que sejam empresas diferentes”, avaliou Filiphe Curvello, Gerente Administrativo da Juntos Somos Mais, rede de relacionamento da construção civil, que tem que lidar com os dados dos clientes.
Agora, o foco do mercado se divide em como a ANPD vai realizar os processos administrativos e em como as empresas vão se adaptar para evitar as punições. “Tem um grande conjunto de empresas que começou quando a LGPD saiu porque o barulho foi forte, mas parou no meio do caminho. Vão ter que retomar alguns assuntos”, conta Marcelo Farias, sócio da Deloitte Cyber.
Do lado da ANPD, a expectativa é que a agência foque em casos grandes a princípio, como uma forma de criar cultura no mercado de dados enquanto ainda não há capacidade interna de avaliar tudo. “A fiscalização e a avaliação de denúncias recebidas passam pelo filtro e pela capacidade da ANPD de investigar e monitorar o mercado; por isso, devem focar nos grandes até que se estruture uma dinâmica”, ressalta Lima. De acordo com ele, a agência tem processos sancionadores “maduros” que esperavam apenas a publicação da dosimetria para que as empresas pudessem se defender.
O foco da ANPD, contudo, deve continuar sendo a construção de uma cultura de proteção de dados, e as sanções são vistas como um instrumento para esse objetivo. Por isso, a dosimetria inclui pontos como ter uma estrutura robusta de segurança e governança dos dados, que podem se tornar atenuantes. “Tem que ser uma agenda constante”, resume Lima. Da mesma forma, a publicização dos problemas consta como sanção, já que pode constranger grandes empresas para as quais as multas pecuniárias podem não causar tantos problemas.
Artigo 27
Se a dosimetria foi elogiada pela clareza nos critérios, um artigo específico levantou dúvidas. O artigo 27 estipula que a ANPD pode afastar as regras da dosimetria para aplicação de sanções, “nos casos em que for constatado prejuízo à proporcionalidade entre a gravidade da infração e a intensidade da sanção”. A previsibilidade e a segurança jurídica foram consideradas prejudicadas com a inclusão desse trecho.
“A questão ocorre quando trocamos critérios objetivos por subjetivos, autorizando que ANPD possa utilizar outros critérios em casos excepcionais ou mesmo promover a substituição da sanção apurada por outra constante do regulamento, para garantir a proporcionalidade almejada entre gravidade e sanção”, avalia Curvello, que crê que a regra pode levar à judicialização em alguns casos.
“Abre uma inquietação no mercado, mas precisamos ver se, na prática vai ser utilizado, se vai ter critério e transparência”, corrobora Carlos Lima, antes de avaliar positivamente mais uma vez a dosimetria. “Vamos esperar sair as primeiras sanções, mas o arsenal foi bem construído e alinhado com as principais necessidades do mercado”, conclui.
