Com a publicação do Regulamento de Dosimetria das Sanções Administrativas [1], a Autoridade Nacional de Proteção de Dados (ANPD) tem ao seu alcance todos os instrumentos necessários para exercer seu poder sancionador. O texto tem por objetivo a regulamentação dos artigos 52 e 53 da Lei Geral de Proteção de Dados (LGPD) e visa o estabelecimento de parâmetros para aplicação das sanções administrativas.

Antes da publicação do documento, as sanções não estavam sendo aplicadas. Hoje, mais do que nunca, a LGPD deverá ser observada não apenas para evitar a aplicação de sanções administrativas, mas também em decorrência da pressão de mercado, em especial dos grandes players, que passarão a cobrar daqueles menores um nível satisfatório de conformidade para realização de parcerias e novos negócios.

Passando à análise das disposições, o artigo 3º, §2º do Regulamento, estabelece que, antes da aplicação de determinadas sanções, a ANPD conferirá prazo para manifestação do principal regulador setorial com competência sancionatória ao qual se submete o controlador. Destaca-se, entretanto, que a determinação não é aplicável a todas as sanções, contemplando apenas a suspensão parcial do funcionamento do banco de dados, a suspensão do exercício da atividade de tratamento e a proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.

Nesse tocante, cumpre ratificar a relevância da manifestação de órgãos reguladores setoriais na hipótese de processo administrativo sancionador que pese sobre agentes de tratamento prestadores de serviços essenciais à população, como o caso de energia e telecomunicações.

Imagine um tratamento de dados pessoais que dê causa a uma infração, cuja base de dados original seja o próprio banco de dados de clientes. A suspensão, mesmo que parcial, do funcionamento desse ambiente, seria capaz de gerar danos irreparáveis ao titular de dados e à ordem pública. Nesse sentido, uma análise de impacto oriunda do agente regulador setorial é, de fato, primordial.

Por outro lado, essa possibilidade deveria ser estendida a qualquer das sanções elencadas, garantindo que, dentro do processo de fiscalização, a ANPD esteja alinhada com a entidade setorial ao qual o controlador está submetido. Ainda, para fins de segurança jurídica, e por força do princípio da legalidade, é importante a formalização de um acordo ou convênio entre a ANPD e o ente setorial que intervirá dentro do processo.

Outro ponto de atenção diz respeito ao artigo 8º que dispõe sobre a classificação das infrações em leve, média e grave, um dos dispositivos mais polêmicos da norma. O §1º do artigo 8º elenca os critérios para definição da infração leve, dispondo que será configurada como tal por exclusão, ou seja, quando não for classificada como média ou grave. A disposição era ainda mais preocupante no texto inicial, visto que os conceitos de infração eram genéricos e pouco ilustrativos.

Assim, foi sugerido, no âmbito da Audiência e Consulta Públicas realizadas pela ANPD, a inclusão de como seriam interpretados os conceitos de infração média associados a "afetar significativamente interesses e direitos fundamentais dos titulares de dados pessoais” e "tratamento de dados pessoais em larga escala".

O texto publicado no regulamento, felizmente, contemplou a sugestão. A Autoridade entendeu que "afetar significativamente interesses e direitos fundamentais" seria equivalente a "atividade de tratamento puder impedir ou limitar, de maneira significativa, o exercício de direitos ou a utilização de um serviço, assim como ocasionar danos materiais ou morais aos titulares, tais como discriminação; violação à integridade física; ao direito à imagem e à reputação; fraudes financeiras ou uso indevido de identidade, desde que não seja classificada como grave".

De todo modo, ainda que a definição tenha representado um avanço, o trecho a respeito dos danos morais abre espaço para a subjetividade, futura judicialização e a própria inexistência de infrações leves.

Nesse caso, parece salutar abrir parênteses para rememorar a experiência da União Europeia que, ao dispor sobre efeitos significativos aos titulares de dados — no cenário de aferição do risco de uma atividade de tratamento —, retrata o conceito indeterminado através de três máximas parciais: 1) quando os efeitos afetam significativamente um comportamento ou uma decisão; 2) possuem um efeito de longo prazo ou duradouro e, no caso mais extremo, 3) levam à exclusão ou discriminação do titular dos dados, o que, em primeira vista, poderia conceder contornos mais robustos ao tema.

No novo texto, o tratamento de larga escala foi deslocado das infrações médias no §2º para o §3º, que trata das infrações graves. Neste último, estabeleceu-se como "tratamento de dados pessoais em larga escala" aquele "caracterizado quando abranger número significativo de titulares, considerando-se, ainda, o volume de dados envolvidos, bem como a duração, a frequência e a extensão geográfica do tratamento realizado", na linha do que já havia sido estabelecido na Resolução nº 2 de 2022 da ANPD [2], que trata sobre os agentes de pequeno porte.

O parágrafo 3º do artigo 8º, a seu turno, dispõe que a infração será considerada grave quando verificada uma das hipóteses de classificação da infração em média cumulada com, ao menos, uma das hipóteses previstas nas alíneas. Aqui, o receio principal sobre o texto discutido no âmbito da Consulta Pública era que, considerada a abrangência da classificação de infrações médias, muitas delas poderiam ser definidas como graves, perdendo a objetividade do enquadramento e gradação das sanções. Nesse tocante, houve algum avanço na contextualização das infrações médias, mas as leves continuam sendo classificadas por exclusão, sem que haja um rol exemplificativo.

A título de ilustração, outras agências, como a Ancine (Instrução Normativa nº 109/2012 [3]) e a Antaq (Resolução nº 3259)[4], auferem a gravidade da infração a partir das circunstâncias agravantes e atenuantes. A Aneel, apesar de não utilizar o método de classificação de gradação da infração, utiliza o conceito de gravidade disposta em níveis, conforme a área de competência e o objeto da ação fiscalizadora (artigo 22, §3º, da RN nº 846/2019 [5]).

Ainda sobre as hipóteses deflagradoras de uma infração em nível grave, chamam atenção especial as alíneas "e" e "f", §3º, I do artigo 8º, que dizem respeito ao 1) tratamento de dados sem amparo em uma das bases legais da LGPD e nos casos em que 2) do tratamento decorrem efeitos discriminatórios ilícitos.

Ora, o tema bases legais ainda é razão de debate em locais com maturidade bem superior à brasileira, como o caso da União Europeia, o que robustece a preocupação quanto ao embate conceitual de uma atividade de tratamento "sem amparo em base legal" versus "discordância, por parte da ANPD, quanto à base legal adotada". Da mesma forma, o flagelo da "discriminação" já fora expressamente citado em âmbito das infrações médias, de modo que sua repetição no contexto das hipóteses de infração alta causa confusão e incerteza.

Mais à frente, o inciso II do artigo 8º, §3º, estipula que a sanção será considerada de natureza grave quando "constituir obstrução à atividade de fiscalização", sem definir, contudo, o que caracterizaria essa obstrução. Cabe esclarecer que a Resolução nº 1 de 2021 da ANPD [6], estabelece, em seu artigo 5º, que se trata de dever dos agentes regulados a disponibilização de informações à ANPD acerca do tratamento de dados realizado. Na sequência, o artigo 6º da mesma Resolução prevê que "o não cumprimento dos deveres estabelecidos no artigo 5º poderá caracterizar obstrução à atividade de fiscalização".

Da análise das disposições, verifica-se a possibilidade de o direito de defesa do agente regulado em eventual procedimento de fiscalização acabar sendo confundido com obstrução à fiscalização, sendo necessário um detalhamento adicional a esse respeito para fins de segurança jurídica. É importante garantir que o agente regulado tenha seu direito à ampla defesa respeitado no procedimento fiscalizatório, sem que isso seja considerado como obstrução à atividade de fiscalização, e, consequentemente, a infração seja classificada como de natureza grave.  

O artigo 15, a seu turno, dispõe sobre a dosimetria para aplicação de multa simples, apresentando grandes atenuantes para os casos de cessação da infração. Por outro lado, verifica-se que, na prática, a comprovação da efetiva cessação de um incidente de segurança tende a ser extremamente difícil. Assim, considerando a complexidade de tal demonstração, deve caber à ANPD a averiguação e comprovação do cumprimento de cessação da infração, bem como o ônus da prova. Afinal, na prática, a comprovação por parte do agente que a violação cessou pode ser uma prova negativa e/ou impossível de ser produzida.

A CVM, por exemplo, considera como atenuante a confissão do ilícito ou a prestação de informações relativas à sua materialidade (Instrução nº 45/2021) [7]. A Antaq também elenca formas de cooperação como atenuantes, tais como o arrependimento eficaz e espontâneo do infrator antes da decisão no processo ou de determinação da autoridade competente; a confissão espontânea da infração, antes de sua identificação; a comunicação prévia pelo infrator do perigo iminente; e a prestação de informações verídicas e relevantes sobre a materialidade da infração (Resolução nº 6/2016) [8]. A Aneel, por sua vez, já traz, inclusive, os percentuais de redução da multa no caso de cessação espontânea da infração e reparação total do dano ao serviço e aos consumidores ou usuários (RN nº 846/2019) [9].

O artigo 16, por sua vez, estabelece de forma abrangente, as hipóteses de aplicação da multa diária, utilizando a cessação da infração para estabelecimento da penalidade. Nesse sentido, é necessária a limitação e definição objetiva da aplicação da sanção, para que a medida seja aplicada em circunstâncias concretas.

O artigo 20 trata da publicização da infração, estabelecendo que a ANPD poderá determinar sua divulgação pelo infrator. Nesse tocante, seria importante a complementação do dispositivo instituindo que, na divulgação, deverão ser observados a privacidade e intimidade do titular, bem como os segredos comerciais e industriais que possam ter sido incluídos nos autos do processo administrativo, na forma do artigo 6º, IV, da LGPD e em linha com o previsto pela Lei de Acesso à Informação.

Ainda assim, a própria natureza da sanção é questionável. Dada a relevância que o tema proteção de dados pessoais possui atualmente, dificilmente uma sanção — devidamente publicada no Diário Oficial da União — não será amplamente divulgada pela mídia geral especializada. Assim, em um livre exercício de futurologia, não seria ilusório imaginar que boa parte dos procedimentos administrativos abertos pela ANPD serão oriundos de casos de incidentes de segurança com dados pessoais, os quais, naturalmente, chegarão ao conhecimento dos titulares.

O artigo 23 estipula que a ANPD poderá determinar ao infrator a eliminação dos dados pessoais a que se refere a infração. Sob essa ótica, fez falta a complementação do dispositivo a partir do estabelecimento de exceções à eliminação dos dados, a fim de contemplar situações em que há a impossibilidade de o controlador realizar o descarte imediato, como, por exemplo, em decorrência de prazos prescricionais previstos em lei, obrigações legais/regulatórias, ou risco de lesão ao titular cujos dados estão sendo tratados.

A mesma lógica poderia ser estendida às penalidades previstas nos artigos 24, 25 e 26, que abordam, respectivamente, a suspensão parcial do funcionamento do banco de dados, a suspensão do exercício de atividade de tratamento e a proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.

Por fim, o artigo 27 do Regulamento apresenta a possibilidade de a ANPD afastar a metodologia de dosimetria apresentada pelo referido regulamento quando for constatado "prejuízo à proporcionalidade entre a gravidade da infração e a intensidade da sanção", o que revela verdadeira esquizofrenia. A determinação traz insegurança jurídica à aplicação das sanções, considerando que a finalidade do regulamento é, justamente, indicar critérios que asseguram a proporcionalidade entre as infrações cometidas e as sanções aplicáveis.

O trabalho realizado pela ANPD representa um grande passo para a construção de uma cultura de proteção de dados no país, mas o caminho a ser percorrido ainda é longo. Essa breve análise mostra que, em breve, o regulamento precisará ser atualizado na medida em que as sanções forem aplicadas e a dosimetria seja testada no mundo real, sobretudo no Poder Judiciário. Nesse sentido, esperamos contribuir para o desenvolvimento progressivo do debate e para o aperfeiçoamento das normas elaboradas pela Autoridade. 

[1] Disponível em: https://www.gov.br/anpd/pt-br/assuntos/noticias/anpd-publica-regulamento-de-dosimetria/Resolucaon4CDANPD24.02.2023.pdf. – Acesso em 27.02.2023.

[2] Disponível em: https://www.in.gov.br/en/web/dou/-/resolucao-cd/anpd-n-2-de-27-de-janeiro-de-2022-376562019 - Acesso em 27.02.2023.

[3] Disponível em: https://antigo.ancine.gov.br/pt-br/legislacao/instrucoes-normativas-consolidadas/instru-o-normativa-n-109-de-19-de-dezembro-de-2012#:~:text=Regulamenta%20o%20processo%20administrativo%20para,20%20de%20julho%20de%202004. – Acesso em 27.02.2023.

[4] Disponível em: http://web.antaq.gov.br/portalv3/pdfSistema/Publicacao/0000008678.pdf - Acesso em 28.02.2023.

[5] Disponível em: https://www.legisweb.com.br/legislacao/?id=378638. – Acesso em: 27.02.2023.

[6] Disponível em: https://www.gov.br/anpd/pt-br/documentos-e-publicacoes/regulamentacoes-da-anpd/resolucao-cd-anpd-no1-2021. Acesso em: 27.02.2023.

[7] Disponível em: https://conteudo.cvm.gov.br/legislacao/resolucoes/resol045.html#:~:text=Disp%C3%B5e%20sobre%20o%20rito%20dos,de%2030%20de%20abril%20de. – Acesso em 27.02.2023.

[8] Disponível em: https://www.abtp.org.br/upfiles/legislacao/Resolucao-Normativa-Antaq-6-de-2016.pdf. – Acesso em 27.02.2023.

[9] Disponível em: https://www.legisweb.com.br/legislacao/?id=378638. — Acesso em: 27.02.2023.

[1] Sócio das áreas de Resolução de Disputas e de Proteção de Dados no BBL | Becker Bruzzi Lameirão Advogados. Diretor de Novas Tecnologias no Centro Brasileiro de Mediação e Arbitragem (CBMA), atua com foco em litígios contratuais oriundos de setores regulados. Organizador dos livros O Advogado do Amanhã: Estudos em Homenagem ao professor Richard Susskind; O fim dos advogados? Estudos em homenagem ao professor Richard Susskind, vol. 2; Regulação 4.0, vol. I e II; Litigation 4.0; e Comentários à Lei Geral de Proteção de Dados, todos publicados pela Revista dos Tribunais.

Beatriz Haikal é sócia da área de Proteção de Dados e Regulatório de Novas Tecnologias no BBL - Becker Bruzzi Lameirão Advogados. pós-graduada em Estado e Sociedade pela Associação do Ministério Público do Estado do Rio de Janeiro (Amperj), Certified Information Privacy Manager (CIPM) pela International Association of Privacy Professionals (Iapp), IAPP Member, OneTrust Certified Privacy Professional e professora convidada de instituições como Ibmec, Curso Fórum e Faculdade Cers.

Christian Kratochwil é Certified Information Privacy Manager (CIPM), Certified Information Privacy Professional/Europe pela International Association of Privacy Professionals (IAPP) e encarregado pelo tratamento de dados pessoais da Oi S/A.

Daniel Becker é sócio do BBL Advogados, diretor de novas tecnologias no Centro Brasileiro de Mediação e Arbitragem (CBMA), membro das Comissões de Assuntos Legislativos e 5G da OAB-RJ, advogado de resolução de disputas com foco em litígios contratuais oriundos de setores regulados, professor convidado de diversas instituições, palestrante frequente e autor de diversos artigos publicados em livros e revistas nacionais e internacionais sobre os temas de arbitragem, processo civil, regulação e tecnologia, organizador dos livros O Advogado do Amanhã: Estudos em Homenagem ao professor Richard Susskind, O fim dos advogados? Estudos em Homenagem ao professor Richard Susskind, vol. II, Regulação 4.0, vol. I e II, Litigation 4.0 e Comentários à Lei Geral de Proteção de Dados, todos publicados pela Revista dos Tribunais.