Conforme Miriam, a atuação da ANPD buscou, até o momento, discutir e interpretar a Lei com os atores envolvidos, alcançando uma conscientização e um convencimento acerca da importância da adoção das medidas técnicas e administrativas a serem adotadas. A Diretora afirmou que a ideia é que a regulação seja responsiva e de acordo com o comportamento do regulado, sendo aplicadas as ações em um formato de pirâmide, ou seja, da mais branda à mais dura. Ou seja, em caso de descumprimento da LGPD, inicialmente serão aplicadas ações mais leves para, posteriormente, caso necessário, serem adotadas sanções mais severas.
A punição não é vista pela ANPD como a única forma de alcançar a adequação das empresas. Logo, a Resolução n.º 1, de outubro de 2021, ao regulamentar o Processo de Fiscalização e o Processo Administrativo Sancionador, previu as diversas fases do processo sancionador, o qual passa por análise, prevenção, orientação e atividade repressiva.
O próximo e importante passo a ser dado pela Autoridade em 2023 é a aprovação da regulamentação específica para a dosimetria das penas, que deve ser publicada em breve, segundo a Diretora, e que tem como principal objetivo trazer segurança jurídica às soluções dos casos concretos envolvendo o tratamento inadequado de dados pessoais, com critérios claros e de fácil entendimento. A normativa deve trazer as hipóteses de aplicação de cada uma das sanções, como multas, suspensões do funcionamento do banco de dados e proibições ao exercício da atividade relacionada ao tratamento de dados. Será com base nessa futura Resolução que o órgão definirá, por exemplo, qual o valor da multa a ser aplicada ao infrator, que pode ser de até 2% do faturamento da pessoa jurídica, limitada à 50 milhões de reais (!!!).
O foco, reitera-se, não está em penalizar, mas sim, indicar mecanismos para reconduzir o infrator à conformidade da legislação, o que implica em entender o contexto de cada empresa e trazê-la de volta à regularidade, e não simplesmente penalizá-la. Os órgãos públicos têm a compreensão de que, ao tratar dados, se está lidando com tecnologia e alta complexidade de processamento de informações pessoais, logo, os agentes de tratamento estão diariamente sujeitos a falhas, sejam de processos tecnológicos ou humanos.
A análise da ANPD considera, em muito, o nível de diligência da pessoa jurídica em relação à proteção das informações pessoais, ou seja, das medidas que foram tomadas para evitar o dano (prevenção), bem como das ações para minimizá-lo (mitigação de riscos). O comportamento do regulado acaba por ser definitivo nesse contexto, sendo de suma relevância a adequação e a transparência para demonstrar todos os esforços adotados para a proteção dos dados.
Além disso, o modelo responsivo de atuação do órgão fiscalizador, a partir de sua parceria com outros órgãos públicos, por exemplo, culmina em ações que visam a capacitação não só de agentes públicos e privados de tratamento, como também da própria população, que, ao final, são os titulares dos dados. A conscientização das empresas e dos cidadãos acaba por ser fomentada a partir da promoção de eventos, disponibilização de guias e cartilhas, entre outras ações educativas e orientadoras.
Diante desse cenário, as atividades da ANPD vêm sendo fundamentais à introdução de uma cultura de proteção de dados na sociedade brasileira, pois demonstra a necessidade de que os titulares conheçam os seus direitos, e, ao mesmo tempo, alerta as empresas com relação as suas responsabilidades enquanto agentes de tratamento – tudo de maneira cautelosa e sensível à realidade e particularidades de cada uma, dada a recente implantação da LGPD.
Por Tábata Faleiro | OAB/RS 118.611 e Diogo Nesello Vitório | OAB/RS 89.824
