LIVE: Sanções administrativas da LGPD serão aplicadas pela ANPD apenas em último caso

report_live-11 (1)

“As sanções administrativas do artigo 52 da LGPD são exclusivas da ANPD e serão aplicadas apenas em último caso, mas outros órgãos podem aplicar sanções, como as previstas no Código de Defesa do Consumidor. A tendência é a ANPD firmar acordos de cooperação com outros órgãos reguladores”, afirmou Rony Vainzof, sócio do Opice Blum, Bruno e Vainzof Advogados Associados, na live “Sanções administrativas da LGPD em vigor: perspectivas e análise da regulamentação” (clique aqui para assistir ao vídeo na íntegra). O encontro, realizado no nosso canal do YouTube, no dia 2 de agosto, contou com a presença de sócios e advogados do escritório.

Em relação aos ACTs (Acordos de Cooperação Técnica), a ANPD, até o momento, firmou com a Senacon (Secretaria Nacional do Consumidor) e com o CADE (Conselho Administrativo de Defesa Econômica). Esses ACTs permitem atuação coordenada entre os órgãos, inclusive em relação à aplicação de sanções.

O objetivo principal da live foi abordar as sanções administrativas previstas no artigo 52 da LGPD, de competência exclusiva da ANPD, que entraram em vigor no dia 1º de agosto. Em artigo publicado no Migalhas, nossa advogada Tatiana Bauer observou que “os agentes de tratamento de dados, que são o controlador e o operador, ficam [a partir da entrada em vigor das sanções no último domingo] sujeitos a sanções de natureza administrativa a serem aplicadas pela ANPD”.

Durante a live, lançamos o e-book “DPO (Encarregado): Gestão dos programas de privacidade e proteção de dados”, que demonstra a necessidade, para as empresas, de encarar a conformidade com a LGPD como jornada contínua. Faça o download gratuito aqui.

Retroatividade

Ainda na live, que teve a mediação do sócio Caio Lima, foi suscitada a possibilidade de as sanções de competência exclusiva da ANPD terem efeitos retroativos. Vainzof disse que a retroatividade, nesse caso, não ocorre, mas relembrou que existe debate sobre a natureza continuada dos delitos, especialmente diante do documento divulgado pela ANPD “Sanções Administrativas: o que muda após 1º de agosto de 2021?”, que endereça o assunto na resposta 10.

“A interpretação é sobre o que são esses delitos. Vamos pensar na situação em que o evento ilícito aconteceu antes de 1º de agosto, mas as consequências para os titulares de dados permaneceram após a data do início das sanções administrativas de competência da ANPD”, disse. Para Vainzof, o vazamento, por si só, não gera sanção. “Caso após o vazamento, no entanto, tenha havido falta de comprometimento da empresa na avaliação dos riscos e na divulgação dos dados vazados”, talvez, aí sim, possamos falar em aplicação das sanções administrativas pela ANPD.

Meios alternativos de resolução de conflitos

Quando se fala em aplicação de sanção administrativa pela ANPD, os advogados reforçam que essa deve ser a ultima ratio, ou seja, apenas em último caso, o que, considerando o comportamento da Autoridade até agora e a minuta da Resolução sobre sanções administrativas submetida à consulta pública, parece ser o caminho escolhido.

Marcos Bruno, nosso sócio e CEO, afirmou que a própria LGPD traz que, antes da aplicação de qualquer sanção, é preciso analisar se o dano apresentado foi resolvido pela empresa controladora. “A norma conceitua a reclamação motivada pela manifestação do titular de dados (aquilo apresentado, e não resolvido). As empresas podem, então, ter mecanismos de resolução alternativa e devem estar preparadas para atender os titulares extrajudicialmente”, comentou.

Em artigo publicado na revista Consultor Jurídico (ConJur), Vainzof ponderou que a ANPD vem seguindo a linha, em suas manifestações públicas e seus documentos oficiais, de priorizar o engajamento construtivo com a iniciativa privada. “Isso significa, em vez de inquisição e sanção, dar prioridade a diálogo, apoio, mútua cooperação, orientação, conscientização e informação, bem como estimular relações abertas e construtivas com negócios que lidem com dados pessoais, primando pela boa-fé das empresas e nos seus esforços em cumprir a lei”, escreveu.

Incidentes de segurança

Na live, destaque, ainda, para a forma como as empresas lidam com incidente de segurança, que pode ser medida atenuante para a imposição de sanções administrativas. Em caso, por exemplo, de incidentes decorrentes de falhas de terceiro, é esperado que a empresa consiga, por meio de documentação, provar que agiu para mitigar os danos.

Ainda que o incidente tenha ocorrido, se a empresa conseguir provar que tomou cuidado, que adotou ações preventivas, é possível que consiga redução na sanção ou até mesmo que a punição não seja aplicada. Sobre como identificar e reagir a incidentes de segurança, baixe aqui nossa cartilha gratuita.

Em artigo publicado no Estadão, Caio Lima ressaltou que “apenas os incidentes que trazem risco ou dano relevante aos titulares afetados deverão ser obrigatoriamente comunicados à ANPD e aos indivíduos prejudicados”. Dessa forma, “o que exatamente entrará nesse mandamento de notificação ainda não está delimitado com exatidão, sendo certo que a ANPD deve regulamentar isso em breve”.

Nosso chairman e sócio-fundador, Renato Opice Blum, em entrevista ao Jornal O Globo, ressaltou que “o processo de adequação à LGPD identifica todas as fontes de coleta de dados, os canais em que a empresa recebe informações pessoais”. Ainda segundo ele, o processo de adequação à LGPD “prevê seguros (para caso de vazamentos) e treinamento de funcionários”.

Já Henrique Fabretti, gestor da nossa área de Proteção de Dados e DPO as a Service, em entrevista ao Valor Econômico, esclareceu que “vazamento de dados pode ocorrer mesmo com empresa em conformidade com a LGPD e com elevado nível de segurança”. Ainda de acordo com Fabretti, “se a organização aplica política de boa prática de governança, prontamente se recupera daquele problema. Além do tamanho do dano, reincidência e condições econômicas são aspectos que serão levados em consideração para definir a penalidade”.

Regulamentação do artigo 52 da LGPD

Neste infográfico elaborado pelo Opice Blum, Bruno e Vainzof Advogados Associados, abordado na live, destaque para o artigo 52 da LGPD, que estabelece as sanções administrativas de competência exclusiva da ANPD – elas vão desde advertência a multas e até mesmo proibição parcial ou total do exercício de atividades de tratamento de dados. Para regulamentar esse artigo, a ANPD divulgou proposta de Resolução que define a estratégia de fiscalização baseada nos seguintes valores:

  • regulação com base em evidências;
  • proporcionalidade entre riscos e recursos alocados;
  • processos transparentes e justos; e
  • promoção da conformidade por diversos instrumentos e abordagens.

A fiscalização compreende, portanto, atividades de monitoramento; orientação; prevenção; e, em último caso, repressão.

A expectativa é que a ANPD tenha comportamento semelhante com as Autoridades dos países da União Europeia. A aplicação das multas com base no GDPR foi baixa nos primeiros meses da entrada em vigor da legislação. Hoje, de acordo com os números mais recentes, já foram aplicadas mais de 700 sanções, com valor que ultrapassa € 293 milhões.

As decisões dos tribunais com base na LGPD

Lançamos na live estudo de jurimetria para demonstrar que os tribunais já têm utilizado a LGPD para conceder dano moral por problemas no tratamento de dados pessoais. De acordo com a pesquisa, apenas em junho deste ano, foram 162 menções à LGPD em decisões judiciais, sendo que 63 delas tinham objetos diretamente ligados à legislação. Aqui, os incidentes de segurança lideram o ranking dos objetos cadastrados nas ações judiciais, com 43 casos no período.

Ainda na live, Renato Opice Blum disse que “a LGPD já pegou antes mesmo da entrada em vigor das sanções administrativas reunidas no artigo 52 dessa legislação”. O advogado lembrou “que há vários órgãos legitimados para instaurar procedimentos administrativos e judiciais para casos baseados na LGPD”.

Nosso chairman defendeu, no seminário “Cibersegurança: oportunidades e desafios” realizado pela Folha de S.Paulo, a adoção de campanhas educativas, em todas as esferas, para tornar a LGPD conhecida. “Ainda falta bastante conscientização das empresas e da sociedade como um todo”, afirmou.

Adequação à LGPD

As organizações em geral devem igualmente estar atentas à adequação dos seus contratos à Lei Geral de Proteção de Dados. Por isso, produzimos cartilha para ajudá-las nas operações que tenham por objetivo a oferta ou o fornecimento de bens ou serviços e que envolvam o tratamento de dados pessoais.

Nesse cenário, é fundamental que a companhia mapeie os contratos já existentes e aqueles que serão celebrados para verificar se eles estão em conformidade com a LGPD, identificando, entre outras coisas, se há tratamento de dados sensíveis ou de crianças e adolescentes, os quais exigem maior atenção.

Por fim, chamamos atenção para a construção de avisos de privacidade por meio de técnicas de Visual Law. O objetivo é facilitar a compreensão de termos legais por meio da utilização de iconografia, camadas de resumo e estruturação por tópico, facilitando a localização das informações. A técnica, também chamada de Legal Design, garante comunicação mais eficiente de informações legais às partes signatárias. Faça o download gratuito aqui do artigo ilustrado “Como construir avisos de privacidade aplicando técnicas de Visual Law”.

Para mais informações, nossas equipes permanecem à disposição.

Share on facebook
Facebook
Share on google
Google+
Share on twitter
Twitter
Share on linkedin
LinkedIn
Share on whatsapp
WhatsApp