Ver mais notícias

LGPD E CONTENCIOSO: SANÇÕES ADMINISTRATIVAS, DUPLICIDADE E DOSIMETRIA

A aplicação de penalidades administrativas aos agentes de tratamento por violação à Lei Geral de Proteção de Dados Pessoais (LGPD), sua dosimetria e quem serão os órgãos intitulados a apurar as infrações e impor as sanções são temas que merecem atenção.

Nos termos do artigo 55-J, IV, da LGPD, uma das funções precípuas da Autoridade Nacional de Proteção de Dados (ANPD) é fiscalizar e aplicar sanções em caso de tratamento de dados realizado em descumprimento à legislação. Isso, evidentemente, realizado mediante processo administrativo em que assegurado o devido processo legal e a defesa do agente de tratamento.

Entre as penalidades a serem aplicadas pela ANPD, há a previsão de advertência, multa simples de 2% do faturamento — limitada a R$ 50 milhões —, multa diária, publicização da infração, bloqueio ou eliminação dos dados pessoais.

A LGPD também prevê a possibilidade de se impor as penas de suspensão parcial do funcionamento do banco de dados, suspensão do exercício da atividade de tratamento dos dados pessoais e proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados. Essas penas, contudo, apenas podem ser impostas, nos termos do parágrafo 6º, do artigo 52, caso uma das demais sanções menos gravosas já tiver sido imposta para o mesmo caso concreto e, cumulativamente, caso os controladores estejam submetidos a outros órgãos com competências sancionatórias, após ouvidos esses órgãos e eles concordarem com a aplicação dessas penalidades.

Mas os agentes de tratamento não estão sujeitos apenas a sanções da ANPD em caso de irregularidade nos seus deveres quando realizam tratamentos de dados.

Sempre que o tratamento dos dados se der no âmbito de relações de consumo, os agentes poderão se submeter a investigações e punições por parte dos órgãos de defesa do consumidor, tais como a Secretaria Nacional de Defesa do Consumidor (Senadon), os Departamentos Estaduais de Proteção e Defesa do Consumidor (Procons) e o Ministério Público. Essa possibilidade está expressamente prevista pelo parágrafo 2º, do artigo 52, da LGPD.

Quando o tratamento de dados ocorrer no âmbito de um serviço regulado, a respectiva agência reguladora também detém competência institucional para investigar o ocorrido.

E, na prática, é o que realmente vem acontecendo. A Senacon e o Procon de São Paulo têm iniciado dezenas de processos administrativos sancionatórios — e até aplicado penalidades, sempre baseando as infrações que constatam em violações ao Código de Defesa do Consumidor. Recentemente, ANPD e Senacon firmaram acordo de cooperação técnica por meio do qual estabeleceram, entre outras obrigações, colaboração em estudos sobre o impacto regulatório da proteção de dados em relações de consumo, bem como o compartilhamento de informações agregadas sobre demandas relacionadas.

A Agência Nacional de Telecomunicações (Anatel) também está bem atenta ao assunto, e já há processos administrativos em curso perante a agência para apurar eventuais vazamentos de dados no setor de telecomunicações.

Essa concomitância de investigações e potenciais penalidades aplicadas pode gerar uma punição em duplicidade dos agentes de tratamento.

Há quem defenda a legalidade dessa dupla, ou por vezes tripla, sanção administrativa, com base no argumento de que não há poder fiscalizatório centralizado e, como tal, todos os órgãos competentes podem atuar de modo concomitante e paralelo.

Não nos parece, contudo, que essa cumulação seja lícita e tampouco juridicamente razoável, haja vista a interpretação sistemática de nossa legislação, que veda o bis in idem punição pelos mesmos fatos, com base no mesmo diploma legal).

A nosso ver, por força do caput do artigo 52, a competência para a análise e sancionamento por violação à LGPD é exclusiva da ANPD. Embora as investigações e punições por parte dos órgãos de defesa do consumidor (órgãos do Ministério Público, associações de consumidores, Senacon e Procons) possam existir, elas devem ser articuladas com a ANPD, de modo que todos os órgãos se organizem para evitar o bis in idem a dupla ou tripla punição pelos mesmos fatos. Ou seja, não negamos a necessidade de haver diálogo entre os órgãos, mas justamente nessa articulação deve se levar em consideração a existência de processos administrativos já em curso, evitando-se a cumulação indevida de investigações.

Para além dessa questão, outro tema sempre presente nas discussões é a dosimetria das sanções aplicadas. Nesse ponto, as relações de consumo também nos ensinam que os órgãos de defesa do consumidor geralmente têm uma tendência a aplicar majoritariamente multas aos fornecedores que, em processo administrativo, tenham constatada violação aos direitos do consumidor.

No que toca à ANPD, a dosimetria de suas punições, incluindo as multas, deverá, no âmbito do processo administrativo sancionatório, observar os critérios estipulados pelo artigo 52, §1º, incisos I a XI da LGPD, claramente inspirados no Regulamento Geral de Proteção de Dados europeu (GDPR).

Por exemplo, no inciso I do mencionado artigo a LGPD prevê que deve ser considerado, para o estabelecimento da punição, a gravidade e a natureza das infrações e dos direitos pessoais afetados. A GDPR, no mesmo sentido, prevê que serão considerados a natureza, a gravidade e a duração da infração tendo em conta a natureza, o âmbito ou o objetivo do tratamento de dados em causa, bem como o número de titulares de dados afetados e o nível de danos por eles sofridos.

Nessa linha, embora a LGPD não seja tão específica, considerando-se essa clara inspiração do legislador com relação à GDPR, é muito provável que a ANPD, quando da verificação do requisito gravidade e natureza das infrações e dos direitos pessoais afetados e da estipulação de uma penalidade, considere para essa aferição os critérios postos de forma mais explícita na GDPR, tais como duração da infração, âmbito ou objetivo do tratamento dos dados, números de titulares afetados e o nível dos dados sofridos.

A mesma inspiração e o mesmo potencial uso são notados quando se compara os demais artigos requisitos: artigo 52, §1º, II, da LGPD e artigo 83, 2., b), da GDPR, que preveem boa-fé do infrator e caráter intencional ou negligente da infração, respectivamente, por exemplo.

Sem prejuízo dessa inspiração e da provável utilização da GDPR como fonte paralela para definição de dosimetria da penalidade, fato é que a aplicação de penalidades deverá, independentemente da criação de fórmula, como todo ato administrativo, ser pautado pela aplicação dos princípios da razoabilidade e da proporcionalidade. É o que já aparenta ter sido sinalizado pela ANPD ao lançar a consulta pública relativa aos incidentes de segurança, na qual ela questiona como avaliar os danos e se devem ser categorizados em diferentes graus.

A sanção a ser aplicada, necessariamente, deverá se ater a esses requisitos. O parâmetro "grau de dano" previsto pelo parágrafo 1º, do artigo 52, da LGPD parece um meio de se limitar aos critérios de razoabilidade e proporcionalidade eventual sanção a ser imposta. Além de presumir que há necessidade de existir um dano efetivo para a aplicação de sanção ao agente de tratamento, esse critério permite modular a sanção conforme sua gravidade.

Os critérios de boa-fé, cooperação, adoção de medidas e reincidência também têm esse tom direcionado à proporcionalidade da sanção. E é assim que todos os atores da privacidade e proteção de dados pessoais devem se pautar, sempre com razoabilidade.