ANPD explica dinâmica para primeiras multas e atuação sobre setor público e microempresas
A Autoridade Nacional de Proteção de Dados (ANPD) promoveu nesta quarta-feira, 1º, uma live para tirar dúvidas sobre a norma que definiu as multas a serem aplicadas por violação à Lei Geral de Proteção de Dados – LGPD – (regulamento de dosimetria). Entre os temas detalhados estão quais serão as prioridades na fiscalização e como será a atuação frente ao poder público (que não pode ser multado) e às pequenas e microempresas.
Veja os principais trechos respondidos pelo coordenador-geral de Fiscalização da ANPD, Fabrício Lopes e coordenador-geral de Normatização Substituto da autarquia, Rodrigo Santana:
O que é dosimetria?
Lopes: “Dosimetria [como é chamada a norma que definiu as sanções por violação à LGPD] significa como a ANPD vai escolher qual sanção aplicar no caso de infração e o quão intensa vai ser essa sanção também. […] Então, a ideia é não cometer exageros na aplicação da sanção, e também não aplicar sanções muito brandas.[…] Têm como pano de fundo a ideia de uma sanção justa, que guarda uma proporcionalidade com o tamanho do incômodo do dano que ela [a violação] trouxe para a sociedade, para a ordem jurídica ou para a proteção de dados como um valor em si”.
Qual deve ser o perfil de infrator alvo da ANPD?
Lopes: “Todas as empresas do Brasil, e mesmo as que estão fora do Brasil mas que afetam cidadãos brasileiros, estão sujeitas à atuação da ANPD e estão sujeitas à vigência da LGPD, seja uma empresa grande ou pequena. Não precisa nem ser empresa (naquele termo de que alguém exerce uma atividade econômica com o fim de lucro) se você trata dados pessoais e você tem personalidade jurídica como pessoa física ou personagem jurídica como uma pessoa jurídica, você sim deve observar a LGPD e vai estar sujeito a atuação da ANPD.
É evidente que a ANPD vai concentrar seus esforços em quem pode trazer mais risco para o titular de dados, e aí a gente começa, provavelmente, pelos maiores agentes de tratamento ou para quem, apesar de não ser grande no sentido de porte, traz muito risco em função das atividades. Então, às vezes, você pode ter também um grupo de cinco pessoas, uma microempresa ou uma startup, mas que lida com um volume de dados tão grande, que ele vai ser, sim, objeto de atenção da ANPD”.
Qual conceito de faturamento será adotado para definir os valores das multas?
Santana: “A princípio, se aquela infração foi relacionada a uma atividade econômica, vai ser o faturamento daquela atividade econômica. Se envolver mais de uma atividade econômica da empresa, e aí a atividade econômica está vinculada à Classificação Nacional de Atividades Econômicas (CNAE), vai abarcar todo o faturamento da empresa.
Caso a ANPD não consiga ter acesso à informação de faturamento dessa empresa, ela também pode arbitrar um valor de faturamento e aí nós colocamos algumas condições onde ele vai buscar limites máximos na Lei Complementar 123 [Estatuto Nacional da Microempresa e da Empresa de Pequeno Porte]”.
Como será o cálculo da multa para entidades sem fins lucrativos?
Santana: “Para esse grupo, a gente criou uma tabela especial com o valor mínimo e máximo, exatamente para calcular esse valor base. [Esse valor base] vai levar em consideração o grau do dano que também é um critério que foi disposto [na norma]”.
Como o poder público será punido?
Lopes: “Não poder aplicar multa pecuniária ao serviço público não interfere na nossa capacidade de movê-lo em direção à conformidade. Nós temos outros instrumentos para atuação junto ao poder público e na pior das hipóteses, que é uma coisa que a gente não espera ter que chegar lá, mas já mapeamos e trilhamos esse caminho caso necessário, é solicitar a responsabilização dos dirigentes deste órgão público caso ele não venha tomar atitudes necessárias.
Normalmente, órgão público não trata dados pessoais porque gosta, porque quer fazer, é obrigado legalmente a fazer isso. E se ele é obrigado a tratar dados pessoais, nós temos alguns limites no que a gente não pode determinar, por exemplo, suspensão e bloqueio, ou até mesmo a exclusão de dados pessoais.
Estamos completamente abertos a, por exemplo, aplicação de advertência com determinação de adoção de medidas corretivas. Ou seja, a lógica de uma obrigação de fazer para o órgão público e, eventualmente, responsabilizar pessoalmente os dirigentes capazes de interferir nesse processo”.
Quais são as circunstâncias que podem agravar ou reduzir a punição?
Santana: “Se existe uma irregularidade, além de você colocar a sanção de forma proporcional a essa irregularidade, observa-se também, que caso o agente tratamento de dados soluciona o problema ou ele tenha alguma iniciativa de se adequar com relação à comunidade o mais rápido possível, acaba que esse agente de tratamento vai ser premiado com uma redução, ou seja, uma atenuante na infração.
Já caso ele tenha algum comportamento de má-fé, com certeza ele vai ter uma agravante”.
Qual é a diferença entre petição de titular, denúncia e incidente de segurança?
Lopes: “A petição de titular faz sentido toda vez que o titular tentou exercer o direito frente ao agente de tratamento de dados e ele não conseguiu esse direito de ser atendido”.
[…]
“A denúncia é o descumprimento da LGPD que não tem a ver com o exercício de direito que não foi atendido. […] Eu posso nunca ter visto aquele agente de tratamento, posso nunca ter tido qualquer relação com ele, mas eu tenho indícios de que ele está fazendo coisa errada”.
[…]
“Já o incidente de segurança é uma obrigação das empresas, agente de tratamento ou controlador de dados de informar à ANPD [casos como invasão à base, alteração, vazamento ou perda das informações que possa acarretar risco ou dano relevante aos titulares]”.