A regulamentação do uso de dados na Europa com a GDPR (General Data Protection Law), que entrou em vigor em maio de 2016, deu início a um efeito cascata que impulsionou diversos países a fazerem o mesmo. Seguindo este fluxo, foi publicada no Brasil, em 2018, a Lei nº 13.709/18, conhecida como Lei Geral de Proteção de Dados (LGPD). Uma vez que a LGPD entre em vigor, toda e qualquer pessoa jurídica ou física situada no Brasil deverá se adequar à regulação, de modo a evitar as penalidades nela previstas.
Com toda a conectividade e circulação de dados obtidas através das mais avançadas tecnologias que se tem hoje, a LGPD não poderia ser mais pertinente. Contudo, apesar da recente situação social que inspirou esta Lei, as medidas de proteção de dados pessoais visam a proteção de direito fundamental há muito já existente: o da privacidade, já previsto na Constituição Federal de 1988, bem como o direito ao livre desenvolvimento da personalidade.
Assim, em razão da importância atrelada à segurança de dados, foram fixadas sanções bastante rígidas pela LGPD, que vão desde uma simples advertência até a aplicação de multa administrativa de até 50 milhões de reais por infração. Assim, vale frisar que não só empreendedores, mas a sociedade de modo geral precisa estar atenta à LGPD e seus desdobramentos. Isto porque, ainda que muitas pessoas não façam tratamento de dados, a quase totalidade da população brasiLeira tem seus dados captados e manipulados a todo momento, seja por entidades públicas ou privadas, sem qualquer tipo de resguardo, proteção ou critério.
Então, considerando a magnitude do impacto social desta medida, faz-se necessário, também, entender quem será responsável e como se dará a fiscalização de seu cumprimento. Ora, para cada nicho regulatório no Brasil há uma agência reguladora, a exemplo do PROCON para as relações de consumo, ANEEL para a energia elétrica, e a ANAC para a aviação. Em relação à segurança de dados não poderia ser diferente, e a Lei 13.709/18 cria então um órgão, na qualidade de autoridade nacional, voltado à regulação da proteção de dados pessoais: a ANPD – Agência Nacional de Proteção de Dados.
A ANPD é definida em Lei como a autoridade nacional responsável pela fiscalização e regulação da Lei Geral de Proteção de Dados. Trata-se de órgão da administração pública federal que terá natureza transitória, com a possibilidade de transformação em autarquia vinculada à Presidência da República após dois anos, a critério do governo. A estrutura organizacional deste novo órgão será constituída por 6 setores, sendo eles:
- Conselho Diretor: formado por 5 membros escolhidos pelo Presidente da República, responsáveis por administrar, planejar e tomar decisões pertinentes ao bom funcionamento da LGDP. Os membros terão mandato com duração de até 4 anos. Um Diretor-Presidente será designado para liderar o Conselho.
- Conselho Nacional de Proteção de Dados Pessoais e da Privacidade: terá formação diversificada, sendo composto por 23 membros oriundos de diversos setores públicos e privados (Câmara dos Deputados, Senado Federal, Instituições Científicas, Confederações Sindicais, entre outros). Os membros deste conselho não possuem direito de voto nas tomadas de decisão da ANPD.
- Corregedoria: setor responsável pela apuração de erros ou práticas não conformes com a Lei. Na hipótese de erros de agentes públicos, este será o setor responsável por aplicar as penalidades cabíveis.
- Ouvidoria: responsável por atender a população, servindo de ponte entre os titulares dos dados e a ANPD, é para onde devem ser direcionadas reclamações, dúvidas e sugestões, em geral.
- Órgão de assessoramento jurídico próprio: possui a função de prestar consultoria e assistência jurídica na aplicação da LGPD para pessoas físicas e jurídicas. É o responsável por promover a implementação da Lei através do esclarecimento das principais dúvidas que possam surgir durante projetos de compliance e afins.
- Unidades administrativas necessárias à aplicação da Lei: setor formado por variados órgãos, os quais serão diretamente responsáveis pela aplicação da LGPD.
Vale frisar que, apesar de sua vinculação à Presidência da República, a Lei deixa clara a autonomia técnica da ANPD. Assim, o Art. 55-J da LGPD destrincha, em seus 24 incisos, as diversas competências da autoridade nacional de proteção e dados, dentre os quais destacam-se:
- O zelo pela proteção de dados pessoais e de segredos comercial e industrial;
- A elaboração de diretrizes e edição de regulamentos para a proteção de dados;
- A fiscalização e aplicação de sanções;
- A divulgação das informações acerca dos direitos e políticas relacionados à proteção de dados;
- A implementação de mecanismos simplificados para o registro de reclamações sobre o tratamento de dados.
A despeito de todas estas prerrogativas, ressalta-se que a ANPD não pode atuar de forma irrestrita. É necessário que seus agentes atuem com observância à exigência de mínima intervenção, sendo respeitados os direitos, princípios e fundamentos da livre iniciativa, conforme disposto no art. 170 da Constituição Federal. Nesta hipótese, não se deve proteger um direito violando outro, mas sim encontrar formas de harmonizar a coexistência e a efetividade dos direitos, tanto do indivíduo quanto da coletividade.
Para executar todas estas tarefas, dispõe o art. 55-K da LGPD que a ANPD atuará em cooperação com os demais órgãos da Administração Pública. Contudo, no que tange à proteção de dados pessoais, as competências da ANPD – regulação, interpretação legal, fiscalização e penalização – são tratadas com autonomia e prevalecerão sobre qualquer outro órgão administrativo.
Nesta linha, a LGPD fixa não só as prerrogativas do novo órgão, como também estabelece as penalidades que seus agentes poderão aplicar em caso de não conformidade com esta Lei, conforme segue:
- Advertência: notificação formal a uma organização a fim de permitir que ela corrija as infrações sem maiores consequências dentro de um prazo pré-estabelecido;
- Multa simples: valor de até 2% do faturamento da pessoa jurídica no seu último exercício, cujo teto será de R$ 50 milhões por infração;
- Multa diária: poderá ser instituída uma multa diária, cumulada ou não, com a supracitada multa simples. O limite também é de R$ 50 milhões por infração;
- Publicitação da Infração: pública e ampla revelação da infração cometida pela empresa nos meios de comunicação pertinentes;
- Bloqueio dos Dados Pessoais: bloqueio dos dados referentes à infração até a resolução do caso pelas autoridades. O objetivo é travar o uso dos dados envolvidos, bem como qualquer tipo de atividade ligada a eles;
- Eliminação de Dados Pessoais: os dados envolvidos na infração serão apagados do sistema da empresa, de modo a impossibilitar o retorno pretendido a partir do investimento na obtenção destes dados.
Assim, a ANPD, com os diversos instrumentos para aplicar sanções às violações legais, será a responsável por definir qual penalidade melhor se adequa a cada caso, levando-se em conta a culpa ou dolo do agente, a quantidade de dados envolvidos e a finalidade da infração.
Resta claro, então, que a criação da ANPD é fundamental para a efetiva aplicação das normas de privacidade e proteção de dados. Sabendo-se que a LGPD é uma norma essencialmente principiológica, ou seja, que fixa preceitos gerais, com princípios a serem adotados, a presença de um órgão que determine bases e diretrizes para o seu cumprimento é de suma importância para maior eficiência da sua implementação.
Levando-se em conta a experiência europeia, recomenda-se que a ANPD, em suas primeiras diligências, atue de forma lúdica e educacional, recomendando às empresas como elas devem se portar para se adequar à regulação, deixando para um segundo momento, de reincidência, a aplicação das penas mais pesadas. Afinal, a LGPD busca a melhor governança no tratamento e proteção da privacidade dos dados pessoais e não uma caçada desgovernada de penalidades e multas.
Portanto, a ANPD é o órgão que ocupa o topo da hierarquia na esfera administrativa da Lei Geral de Proteção de Dados. Criado para atuar a serviço do cidadão, ele serve de elo entre sociedade e governo, para o qual deve ser dirigida qualquer sugestão, reclamação ou denúncia relacionadas à proteção de dados. Assim, todos aqueles que realizam tratamento de dados devem estar não só atentos à LGPD, como também atualizados em relação às diretrizes da ANPD, de forma a evitar as severas sanções legalmente impostas.