Têm início agora, em janeiro de 2022, as ações de fiscalização por parte da Autoridade Nacional de Proteção de Dados – ANPD, do cumprimento da Lei Geral de Proteção de Dados – LGPD (Lei nº 13.709/2018).
Foi publicada recentemente, na imprensa em geral, que a ANPD aplicará sanções com efeito retroativo. Tal notícia teve por base uma declaração do Presidente da ANPD, segundo a qual as penalidades podem ser aplicadas a situações ocorridas a partir de 1º de agosto de 2021, quando entrou em vigor a parte sancionatória da LGPD.
Tecnicamente, uma retroatividade teria lugar se houvesse uma aplicação da Lei a situações ocorridas antes da sua vigência, o que não é admitido no Direito brasileiro.
São duas as situações a serem consideradas nas ações da ANDP. Ela optou por iniciar as ações fiscalizatórias em janeiro de 2022, após a aprovação do Regulamento de Fiscalização e Aplicação de Sanções Administrativas, como forma de conferir segurança jurídica aos cidadãos. Esta decisão contudo em nada altera a circunstância de quem sofreu um incidente de segurança de dados, ou realizou tratamento de dados pessoais em desconformidade com a LGPD, a partir de 1º de agosto, data a partir da qual as sanções já podem ser aplicadas.
Sendo assim, fatos ocorridos no período da vigência das sanções administrativas da LGPD podem ser sancionados, uma vez que o marco inicial para as ações de fiscalização da ANPD (janeiro/2022) é uma decisão no âmbito da gestão das suas atividades, que não tem o poder de interferir nas disposições legais ou na eficácia da LGPD.
Outra situação é a dos chamados “delitos continuados”, em que fatos ocorridos antes da vigência das sanções da LGPD permaneceram surtindo efeitos após 1º de agosto de 2021. Se evidenciada a falta de comprometimento do agente de tratamento de dados na avaliação dos riscos, na adoção de medidas preventivas ou corretivas, pode ser aplicada pena.
Por outro lado, uma situação de permanência do estado de desconformidade com a LGPD após o início de vigência das sanções administrativas representa uma renovação diária dos atos de descumprimento da Lei, tornando atual a aplicação da LGPD e não retroativa.
Observa-se assim que a expressão é utilizada com atecnia – não haverá propriamente uma aplicação retroativa das sanções da LGPD.
Ressalta-se que a LGPD instituiu um pré-requisito para aplicação de penalidade em caso de incidentes individuais – não ter havido acordo entre o agente de tratamento e o titular dos dados. Isto indica que as organizações devem instituir mecanismos de resolução alternativa dos conflitos e estar preparadas para atender aos titulares dos dados extrajudicialmente.
Nas ações fiscalizatórias, a ANPD adotará uma abordagem gradual, baseada no comportamento do agente de tratamento de dados e calcada num plano de monitoramento que considerará as informações recebidas através de denúncias, reclamações, notificações de incidentes, para estabelecer as prioridades da respectiva agenda.
As sanções serão aplicadas, isolada ou cumulativamente, após regular processo administrativo sancionador, e se sujeitarão a ponderação de circunstâncias como a gravidade e a natureza das infrações e dos direitos pessoais afetados, a condição econômica e do infrator, a sua cooperação, o grau do dano, a adoção de política de boas práticas e governança, a pronta adoção de medidas corretivas.
Em breve a ANPD publicará os critérios e métodos para o cálculo da multa (dosimetria), que seguirão os parâmetros da LGPD.
O valor da multa pode chegar a 2% do faturamento da empresa, limitado a cinquenta milhões de reais, por infração. A Lei dispõe que, no cálculo da pena pecuniária, poderá ser considerado o faturamento total da empresa ou grupo de empresas, e admite também aplicação de multa diária, limitada ao mesmo valor.
Além de multa, a LGPD prevê sanções que vão desde a publicização da infração e a suspensão do banco de dados, até a proibição total ou parcial do exercício de atividades relacionadas a tratamento de dados.