No dia 28/10/21, o Conselho Diretor da ANPD (Autoridade Nacional de Proteção de Dados), que é o órgão responsável por zelar, implementar e fiscalizar o cumprimento da Lei Geral de Proteção de Dados em todo o território nacional, deliberou sobre a aprovação do Regulamento do Processo de Fiscalização e do Processo Administrativo Sancionador.
A Lei Geral de Proteção de Dados (Lei 13.709/2018) está vigente desde 18 de setembro de 2020, contudo, os artigos referentes às sanções administrativas entraram em vigor somente este ano, em 1º de agosto de 2021. Entre as sanções, encontram-se a temida multa de até 2% do faturamento, podendo chegar ao limite de R$ 50 milhões por infração.
Por outro lado, com a chegada da Quarta Revolução Industrial e o atual cenário da economia baseada em dados, a previsão da suspensão parcial do funcionamento do banco de dados pelo período máximo de seis meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador, pode se revelar uma sanção ainda mais relevante e gravosa do que a multa pecuniária. A exemplo da repercussão recente com a parada temporária do Whatsapp, Instagram e Facebook (embora o motivo não estar relacionado a nenhuma sanção, mas sim a um problema sistêmico).
A Resolução CD/ANPD nº 1, de 28 de outubro de 2021, estabelece “os procedimentos inerentes ao processo de fiscalização e as regras a serem observadas no âmbito do processo administrativo sancionador pela Autoridade Nacional de Proteção de Dados (ANPD)”, cumpre destacar que a aplicação de qualquer das sanções previstas no art. 52 da LGPD somente ocorrerá em conformidade com esta resolução por meio do devido processo administrativo.
O processo administrativo garante ao investigado o contraditório e a ampla defesa, conferindo prazo de dez dias úteis para apresentar defesa, alegações finais e recurso, com amplos poderes de produção de provas. Sem prejuízo, é claro, da revisão da decisão administrativa pelo Poder Judiciário.
Fato é que a lei também visa promover o desenvolvimento econômico, tecnológico e a inovação, estimulando entes públicos e privados a garantir a segurança no ambiente digital. Ou seja, a partir da compreensão da cultura de proteção de dados é possível pautar as atividades econômicas com muito mais segurança, além de agregar valor no negócio sob a perspectiva de respeito aos direitos dos titulares.
Neste sentido, o art. 27 da Resolução estabelece que a ANPD promoverá medidas visando a orientação, a conscientização e a educação dos agentes de tratamento, dos titulares de dados pessoais e dos demais integrantes ou interessados no tratamento de dados pessoais. Entre as medidas estão previstos a elaboração de guias de boas práticas e de modelos de documentos para serem utilizados por agentes de tratamento; recomendação de utilização de padrões técnicos que facilitem o controle pelos titulares de seus dados pessoais; observância de códigos de conduta e de boas práticas estabelecidas por organismos de certificação ou outra entidade responsável, entre outros. Algumas destas medidas já foram publicadas pela ANPD e estão disponíveis no site institucional dentro do repositório de publicações.
A “LGPD” tem como escopo a proteção à privacidade dos titulares dos dados tendo como um dos seus fundamentos a autodeterminação informativa, ou seja, o controle que o próprio titular deve ter quanto ao trânsito de seus dados pessoais. Embora ainda pareça estarmos em um paradoxo em que cada vez mais negócios são pautados por dados e, cada vez mais estarmos conectados, a Lei Geral de Proteção de Dados segue a tendência mundial do uso responsável e consciente dos dados pessoais, bem como, maior esclarecimento sobre o controle dos dados pessoais. Ressaltando ainda que em razão do potencial interfronteiriço da internet será indispensável o conhecimento das regulamentações aplicáveis em outros países, a exemplo do GDPR (General Data Protection Regulation), aplicável a todos os indivíduos na União Europeia e Espaço Econômico Europeu; CCPA (California Consumer Privacy Act) e, mais recentemente, a PIPL (Personal Information Protection Law), que é a Lei de Proteção de Informações Pessoais da China que entrou em vigor no 1º de novembro de 2021.
De fato, a inteligência artificial, big data, IoT, modificará a relação do cidadão e do Estado onde se impõe tentativas de dimensionar as rupturas de paradigmas até então existentes. O profissional do Direito precisa repensar suas práticas, abrindo-se às novas contribuições de outras áreas do conhecimento tendo em vista o incessante e imprevisível avanço da tecnologia.
(Colaboração de Rodrigo Toler, advogado especialista em Direito Digital e Proteção de Dados, Processo Civil e Mestrando em Direito, Tecnologia e Desenvolvimento pela IDP. Membro da Comissão Especial sobre Implantação da Lei Geral de Proteção de Dados no IASP. EXIN Certified DPO).
Publicado na edição 10.624 de 13 a 19 de novembro de 2021.
