No final do mês de janeiro, a Consumidor Moderno publicou uma série de matérias analisando os principais avanços e desafios da Lei Geral de Proteção de Dados (LGPD) após quase três anos em vigor. Na época, havia uma grande expectativa: a publicação da dosimetria das sanções. Os especialistas ouvidos pela CM apostaram que a regulamentação aconteceria no mês de fevereiro. E assim aconteceu.
A Autoridade Nacional de Proteção de Dados (ANPD) publicou, no último dia 27, o Regulamento de Dosimetria e Aplicação de Sanções Administrativas, que regulamenta a aplicação dos artigos 52 e 53 da LGPD. Ou seja, a norma de dosimetria que define os critérios e parâmetros para aplicação de sanções.
De acordo com a LGPD, as punições para quem descumpre as regras para proteção e tratamento de dados vão desde advertência, multa simples e multa diária até a publicização da infração, bloqueio ou eliminação do banco de dados afetado, suspensão ou até mesmo proibição total exercício da atividade relacionada ao tratamento de dados. A Consumidor Moderno voltou a conversar com os especialistas para saber o que eles acharam da regulação publicada pela ANPD e se o texto ficou dentro das expectativas.
“Essa regulamentação representa um grande marco. A sua promulgação alavanca a LGPD a um patamar de “efetividade plena”, afirma a pesquisadora do Centro de Tecnologia e Sociedade (CTS) da FGV Direito Rio, Erica Bakonyi.
Para Érica, o comportamento das empresas no contexto do mercado brasileiro costuma ser reativo. Portanto, acredita-se que a aplicação das sanções trará um novo estímulo, ou até mesmo uma pressão, para que as empresas iniciem os programas de adequação à LGPD. Segundo a pesquisadora, durante os três anos que a lei está em vigor, foi feita uma série de esforços de conscientização que surtiram algum efeito, mas não alcançaram os patamares esperados para o período. Ela cita que a pesquisa “Maturidade de Privacidade e Proteção de Dados no Brasil”, publicada pelo Grupo Daryus, em dezembro de 2022, aponta que 80% das empresas no Brasil ainda não estão adequadas à LGPD.
A elaboração da norma de dosimetria contou com ampla participação social. A minuta do regulamento recebeu 2.504 contribuições da sociedade em consulta pública realizada entre os dias 15 de agosto e 15 de setembro de 2022. Além disso, foi realizada uma audiência pública, na qual foram recebidas mais 24 contribuições da sociedade civil. A aprovação da norma aconteceu em deliberação eletrônica do Conselho Diretor da ANPD e trouxe, também, alteração da Resolução ANPD nº 1, que trata das regras para o processo de fiscalização e para o processo administrativo sancionador da Autoridade.
O relator da matéria, o Diretor Arthur Sabbat, teve seu posicionamento acatado por unanimidade do Conselho Diretor da ANPD. A decisão foi formalizada em Ata de Circuito Deliberativo do Diretor-Presidente da Autoridade, Waldemar Gonçalves.
A Dosimetria estava sendo muito aguardada por todos porque é uma forma de garantir a proporcionalidade entre a sanção aplicada e a gravidade da conduta do agente. Além disso, dá maior segurança jurídica aos processos fiscalizatórios e garante o direito ao devido processo legal e ao contraditório.
A regulação das sanções era um requisito para que a ANPD pudesse começar a aplicar multas aos infratores da Lei Geral de Proteção de Dados. A aprovação da norma é importante para que os processos de fiscalização possam resultar em sanções administrativas e para que sejam mais efetivos.
Poder Público e Big Techs na mira
Erica Bakonyi afirma que um ponto importante a ser destacado é que possivelmente haverá o julgamento de oito processos administrativos ainda neste primeiro semestre de 2023. Esse “estoque de processos” com supostas violações à LGPD têm uma característica em comum: a maioria envolve o setor público federal. Quem passou essa informação foi a diretora da ANPD, Nairane Farias Rabelo Leitão, em entrevista ao Valor Econômico.
Outra análise interessante, segundo a pesquisadora da FGV é que há a expectativa de que os principais alvos da ANPD sejam as Big Techs, plataformas digitais de mídias sociais e comércio eletrônico. Além delas, também devem estar no radar o setor de telecomunicações e as instituições públicas.
“O que fica claro, e é sempre oportuno relembrar, é que o investimento em um programa de adequação à LGPD e às demais normas referentes à segurança da informação, para além de proteger os processos internos e blindar as organizações de sanções ou pagamento de indenizações cíveis, aumenta o valor de negócios e a confiança dos consumidores”, acrescenta Erica.
Alto custo é empecilho para empresas
A especialista explica que existe uma preocupação “colateral e contundente” por parte do mercado em relação aos custos para adequação das empresas à LGPD. Realmente, de acordo com a pesquisadora, um projeto desses envolve um investimento alto, seja para capacitação dos colaboradores ou contratação de uma consultoria especializada. Érica concorda que é desafiador conciliar os respectivos valores com as dificuldades financeiras e econômicas que o país vem enfrentando, mas faz um alerta:“Remediar um incidente de segurança da informação como, por exemplo, um vazamento de dados, é muito mais caro do que investir na prevenção”.
As pequenas e médias empresas são as que mais têm dificuldade de se organizar financeiramente para contratar uma consultoria jurídica e um profissional de TI especializado.
“Precisamos pensar em mecanismos para apoiar essas empresas, porque estamos falando de empreendedores que lutam para sobreviver em meio a todos os desafios tributários e mercantis”, afirma Erica. A pesquisadora defende que é necessário ajudar essas empresas a entenderem como orquestrar custos e priorizar ações, olhando para a proteção de dados com a importância que ela tem para colaboradores e clientes.
Embora pouco difundido, segundo Erica, já existem diferentes modelos de apoio para essa fase de “organização e adequação” com valores mais acessíveis. Algumas possibilidades são: contratar uma pessoa ou um grupo de profissionais para representar a figura do Encarregado pela Proteção de Dados / DPO (eventualmente, por “pacote de horas”); contratar profissionais para avaliar o grau de maturidade da sua empresa e elaborar um plano de mitigação de riscos; contratar profissionais para implementar o plano de mitigação de riscos; contratar um curso preparatório e específico para o seu negócio; contratar profissionais para orientar e acompanhar o trabalho devolvido pelos seus colaboradores investidos na função; contratar um software de gestão da privacidade; entre outros.
+Notícias
Engatinhando: ANPD sinaliza caminho da conscientização e diálogo
Na Justiça, 57% dos processos de LGPD terminam sem condenação