A dosimetria era o elemento que faltava para a regulamentação da fiscalização e das sanções sobre as infrações à Lei Geral de Proteção de Dados (LGPD). Neste momento mais decisivo, as empresas ainda têm dúvidas quanto aos próximos passos e, até mesmo, se todo o empenho aplicado nos últimos anos para a conformidade com a lei foi o suficiente.
De forma geral, a dosimetria classifica as infrações como leve, média ou grave; estipula critérios para a aplicação de advertência, multa simples e diária; determina agravantes e atenuantes; entre outros pontos. As empresas que violarem as regras de proteção de dados pessoais previstas na LGPD poderão ser punidas mediante as sanções, que variam desde advertência a multas que equivalem a 2% do faturamento, limitadas a R$ 50 milhões por infração.
As penalidades entraram em vigor pela Autoridade Nacional de Proteção de Dados (ANPD) em agosto de 2021. Daquela data em diante, todas as infrações cometidas pelos agentes de tratamento de dados são passíveis de processo administrativo – contudo, a regra não é válida para datas anteriores a esse período, conforme ponderou Arthur Pereira Sabbat, diretor do Conselho Diretor da ANPD, em reunião do Conselho de Economia Digital e Inovação (CEDI) da Federação do Comércio de Bens, Serviços e Turismo do Estado de São Paulo (FecomercioSP). “A dosimetria vem para permitir a aplicabilidade das sanções. Se existem processos abertos que não podem resultar em multa pela falta de uma norma de aplicação, uma vez publicada [a dosimetria], isso permitiria à ANPD aplicar a sanção. Quanto à retroatividade, este é um ponto que eu acredito que já esteja pacificado no entedimento sólido do Direito”, explicou Sabbat.
Para os pequenos negócios que lidam com dados pessoais, como os do comércio eletrônico, o importante é ter em mente que nem toda infração resultará em uma multa envolvendo a LGPD, e que a forma e a agilidade com que a empresa resolve o problema são determinantes. “Muitas vezes, recebemos denúncias sobre a atuação das pequenas empresas, mas, quando vamos conferir, o dano à LGPD foi mínimo. Em vários casos, a empresa resolve a situação com os clientes no menor tempo possível, mediante atitudes pontuais e rápidas, ao apresentar as justificativas e informações ao titular para que aquilo não se agrave. Isso representa um dano mínimo à lei e manifesta a boa vontade e a boa-fé. Com isso, o processo tende a não avançar”, sinalizou o diretor. Há também as circunstâncias atenuantes das normas. Se a empresa tomou as medidas de mitigação e contenção do dano ao titular, poderá será beneficiada com cálculos mais leves nas multas, ou até mesmo não sofrerá a sanção.
A dosimetria era o elemento que faltava para a regulamentação da fiscalização e das sanções sobre as infrações à Lei Geral de Proteção de Dados (LGPD). Neste momento mais decisivo, as empresas ainda têm dúvidas quanto aos próximos passos e, até mesmo, se todo o empenho aplicado nos últimos anos para a conformidade com a lei foi o suficiente.
De forma geral, a dosimetria classifica as infrações como leve, média ou grave; estipula critérios para a aplicação de advertência, multa simples e diária; determina agravantes e atenuantes; entre outros pontos. As empresas que violarem as regras de proteção de dados pessoais previstas na LGPD poderão ser punidas mediante as sanções, que variam desde advertência a multas que equivalem a 2% do faturamento, limitadas a R$ 50 milhões por infração.
As penalidades entraram em vigor pela Autoridade Nacional de Proteção de Dados (ANPD) em agosto de 2021. Daquela data em diante, todas as infrações cometidas pelos agentes de tratamento de dados são passíveis de processo administrativo – contudo, a regra não é válida para datas anteriores a esse período, conforme ponderou Arthur Pereira Sabbat, diretor do Conselho Diretor da ANPD, em reunião do Conselho de Economia Digital e Inovação (CEDI) da Federação do Comércio de Bens, Serviços e Turismo do Estado de São Paulo (FecomercioSP). “A dosimetria vem para permitir a aplicabilidade das sanções. Se existem processos abertos que não podem resultar em multa pela falta de uma norma de aplicação, uma vez publicada [a dosimetria], isso permitiria à ANPD aplicar a sanção. Quanto à retroatividade, este é um ponto que eu acredito que já esteja pacificado no entedimento sólido do Direito”, explicou Sabbat.
Para os pequenos negócios que lidam com dados pessoais, como os do comércio eletrônico, o importante é ter em mente que nem toda infração resultará em uma multa envolvendo a LGPD, e que a forma e a agilidade com que a empresa resolve o problema são determinantes. “Muitas vezes, recebemos denúncias sobre a atuação das pequenas empresas, mas, quando vamos conferir, o dano à LGPD foi mínimo. Em vários casos, a empresa resolve a situação com os clientes no menor tempo possível, mediante atitudes pontuais e rápidas, ao apresentar as justificativas e informações ao titular para que aquilo não se agrave. Isso representa um dano mínimo à lei e manifesta a boa vontade e a boa-fé. Com isso, o processo tende a não avançar”, sinalizou o diretor. Há também as circunstâncias atenuantes das normas. Se a empresa tomou as medidas de mitigação e contenção do dano ao titular, poderá será beneficiada com cálculos mais leves nas multas, ou até mesmo não sofrerá a sanção.
Fiscalização
As formas de atuação de fiscalização pela ANPD também foi outro ponto comentado por Sabbat, a saber: de ofício, ou seja, quando a própria autoridade tem a intenção de fiscalizar o agente de tratamento; em virtude do tratamento volumétrico de dados pessoais, o que pode chamar a atenção do órgão; e ainda de modo mais reativo, ou seja, quando “provocada”, com denúncias, por exemplo, sendo este o procedimento mais comum. As denúncias chegam pelos canais digitais da ANPD e podem ser feitas por empresas e pessoas físicas.
Pontos que devem ser normalizados em breve
A ANPD deve publicar, ainda neste ano, algumas normas que terão impacto na dosimetria.
Uma será sobre a comunicação de incidente que envolva dados pessoais, e outra sobre o relatório de impacto à proteção de dados. Ambas tangenciarão a norma de dosimetria, tendo em vista que a comunicação de incidentes também permitirá que a ANPD abra um processo administrativo, que pode (ou não) resultar em sanção. “Em geral, a depender do incidente e das providências adotadas pelo controlador, a ANPD irá pedir o relatório de impacto. Não se trata de um modelo de relatório, a norma se baseará naquilo que a Autoridade quer ver neste documento, aquilo que ela precisa para tomar as decisões do processo administrativo.”
Outras normas envolvendo a transferência internacional de dados pessoais (que terá uma consulta pública), e outra sobre a atuação do “encarregado” no tratamento de dados, ainda devem avançar ao longo do ano. Em breve, conforme explicou o diretor, a ANPD também deve publicar um enunciado sobre o tratamento de dados pessoais de crianças e adolescentes. Não será uma norma para o agente de tratamento, mas um posicionamento sobre como a autoridade vislumbra a questão, ou seja, uma “pacificação interpretativa”.
Risco grave no tratamento de dados
Rony Vainzof, consultor em Proteção de Dados da FecomercioSP, ponderou acerca dos fatores que podem aumentar a gravidade de uma infração e que precisam de atenção das empresas: a ausência de uma base legal para a atuação; a questão do legítimo interesse (ainda não regulamentada); o tratamento de dados biométricos (considerados sensíveis); e o compartilhamento de banco de dados da administração pública para a privada que envolve diversas finalidades. Estes são alguns dos temas levados à ANPD há alguns dias na agenda prioritária do Fórum Empresarial LGPD, o qual a FecomercioSP integra. “São vários pontos, e a ANPD precisa ter muita cautela e fundamentar suas decisões de sanção, sob o risco de nulidade no Poder Judiciário. Como são assuntos não regulamentados, isso traz complexidade para a autoridade em eventuais decisões”, complementou Vainzof.
Decisão automatizada
Outro ponto de interesse do setor empresarial foi quanto às decisões automatizadas em relação aos dados, algo comum no e-commerce. O setor aguarda uma agenda regulatória, bem como uma coleta de subsídios. Sabbat comentou que a autoridade deve antecipar as tratativas em torno disso, em razão da relevância da Inteligência Artificial (IA). Segundo ele, a ideia é priorizar o tema, provavelmente com um documento técnico, mas, de início, sem uma norma. “Na abordagem da decisão automatizada, há questões sociais, éticas, principiológicas, de privacidade e de volumetria de dados, além de todo o aspecto de proteção da informação. Tudo o que se fala de IA está muito ligado à proteção de dados pessoais. Para que um algoritmo seja eficaz, ele precisa se ligar ao maior número de dados pessoais possível, de forma lícita.”
Fonte: FECOMERCIO