Mais de 4 anos após a implantação da Lei Geral de Proteção de Dados, a Autoridade Nacional de Proteção de Dados (ANPD) ainda não aplicou nenhuma sanção a pessoas ou entidades que violaram a lei.
Isso porque o órgão ainda não sabe como irá calcular o tamanho das penas às violações, o que é chamado no direito de “dosimetria”.
Em outras palavras, após a aprovação da LGPD, a ANPD tem publicado textos legais complementares que buscam especificar e detalhar as punições, mas a parte que diz o quanto cada crime pesa na hora de tipificar penas ainda não está pronta.
Embora tenha sido publicada em 14 de agosto de 2018, a LGPD entrou em vigência apenas em agosto de 2020, e as sanções previstas passaram a valer apenas em agosto de 2021. Procurada pelo Byte, a ANPD afirmou que ainda não há prazo definido para a aprovação do texto com a dosimetria das penas, que está sob análise da procuradoria da autoridade.
Para Rafael Zanatta, diretor da Data Privacy Brasil, a espera pode parecer ruim, mas é um sinal de que o órgão está tomando todas as precauções necessárias para iniciar sua atuação.
Buscando ouvir a opinião de especialistas e entidades de classe, a ANPD abriu consulta pública sobre o assunto, entre 16 de agosto a 15 de setembro deste ano. Nesse período, foram apresentadas mais de 2,5 mil sugestões.
“A Autoridade Nacional de Proteção de Dados trabalhou, nos últimos dois anos, para construir seus procedimentos internos e para elaborar uma norma de fiscalização, que define o modo como as sanções podem ser aplicadas. O forno está pronto e agora alguns pães serão assados”, diz.
Atuação da ANPD
A LGPD visa proteger a privacidade dos usuários e estabelece que empresas, órgãos do governo federal, estados e municípios só podem armazenar e tratar dados pessoais se o cidadão permitir. O usuário deve ser informado sobre o motivo qual o governo ou a empresa precisa dos dados e como vai usá-los.
A lei exige ainda uma proteção especial a dados de crianças e adolescentes e os considerados sensíveis, incluindo origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato, dados genéticos, biométricos ou sobre a saúde e vida sexual do cidadão.
Mas nem sempre é isso que acontece. Segundo dados da empresa Surfshark, empresa de privacidade e segurança virtual, 24,2 milhões de brasileiros tiveram suas informações expostas no ambiente on-line entre janeiro e novembro de 2021, colocando o Brasil no 6º lugar do ranking de países com mais vazamentos de dados.
Conforme apurou a reportagem, a ANPD recebe cerca de 72 requerimentos por mês, entre denúncias e petições de titulares de dados pessoais que acreditam ter seus direitos violados. Desses, quase 70% já foram analisados e catalogados. Cerca de 500 requerimentos encontram-se em análise.
Já foram instaurados 25 procedimentos de fiscalização, dos quais 10 já foram concluídos e 15 estão em trâmite. Há também 8 processos administrativos sancionadores em curso.
“Ainda não houve nenhuma sanção aplicada, em decorrência da necessidade de regulamentação, a qual está em processo de elaboração”, justificou o órgão.
Incidentes com dados pessoais
No que diz respeito a incidentes de segurança de dados pessoais (evento adverso confirmado, relacionado à violação na segurança de dados pessoais), a ANPD afirma que já recebeu mais de 380 comunicações desde 2021.
Em média, no ano de 2022, foram 24 incidentes de segurança comunicados à ANPD por mês, um aumento de 40% em relação ao ano anterior. Também foram instaurados 15 processos de apuração de incidentes para averiguação de incidentes não reportados à Autoridade.
Foram emitidos 31 Avisos, como medida preventiva aos incidentes, e instaurados 7 processos administrativos sancionadores, os quais aguardam o regulamento de dosimetria para seguir o curso.
Um estudo do escritório Opice Blum, Bruno e Vainzof Advogados que analisou mais de 1.200 decisões judiciais ocorridas em 2021 mostra que, no Brasil, as condenações relacionadas a violações à LGPD no Brasil variam, majoritariamente, de R$1.000 a R$ 100.000.
A tendência é que as sanções fiquem mais pesadas para os infratores, com a atuação da ANPD, segundo Renato Blum, sócio fundador do escritório que realizou a pesquisa.
“Para melhorar efetivamente, falta, sem dúvida, a Autoridade Nacional começar a aplicar as sanções, o que deve acontecer muito em breve”, diz.
Haverá ajuste retroativo?
Com a regulamentação da dosimetria, poderá ser aplicada uma multa que pode chegar a 2% do faturamento das empresas, limitado ao teto de R$ 50 milhões.
Ainda é incerto se a ANPD instituirá um efeito retroativo nas multas, aplicando sanções, nos termos do texto aprovado, a infrações que ocorreram antes da aprovação em si.
Camila Studart advogada e co-fundadora da DataLegal Consultoria Empresarial explicou que embora a LGPD tenha entrado em vigor em 2020, os artigos que tratam das sanções administrativas tiveram sua vigência adiada por força de medida provisória e só começaram a valer em agosto de 2021.
“Assim, somente se aplicará aos incidentes ocorridos após esta data, contudo, poderá valer para incidentes iniciados antes dela se tiverem natureza continuada (ou seja, que continuam a ocorrer)”, afirmou.
Segundo a especialista, o ajuste retroativo é um dos pontos mais esperados por empresas e entidades, que devem sentir o impacto de multas e sanções – tanto da ANPD quanto de outros órgãos competentes.
“Uma eventual sanção aplicada pela ANPD não cria qualquer empecilho para que outros órgãos apliquem suas próprias sanções sobre o mesmo fato”, completa.
Isso quer dizer que por um único incidente de dados, o infrator poderá ser punido por mais de um órgão (de defesa do consumidor, por exemplo), além de eventualmente ser condenado pelo Poder Judiciário, tanto na esfera cível quanto na penal.
A solução é investimento em segurança
A notícia boa para os que esperam a conclusão de regularização por parte da ANPD é que, em outubro deste ano, o órgão ganhou mais poder e autonomia para seus atos decisórios, tornando-se uma autarquia especial.
Agora, a autoridade, que antes era vinculada à Presidência da República, se equipara às agências reguladoras como a Anatel e a Anvisa, e deve ter mais agilidade em seus atos.
“Isso vai gerar muito mais neutralidade, vai trazer reconhecimento inclusive por parte da União Europeia e, portanto, facilitar a troca de informações no âmbito internacional”, diz Blum.
Mas a aplicação de multas e pedidos de retratação não devem ser encaradas como o objetivo final de políticas públicas de proteção de dados no Brasil, explica Zanatta. Para o diretor da Data Privacy Brasil, a questão não é agir após o dano, mas criar uma responsabilidade compartilhada de prevenção no país.
“O saldo hoje é preocupante. É claro que incidentes de segurança irão ocorrer e será impossível eliminá-los, mas o Brasil ainda possui um problema de baixo investimento em segurança da informação”, diz.