LGPD e Resoluções da ANPD -Por Antonio Souza e Vanessa Krauss*

A Lei nº 13.709, de 14.08.2018, Lei Geral de Proteção de Dados Pessoais – LGPD, representa um marco regulatório sobre o tratamento de dados pessoais no Brasil buscando mais segurança, privacidade e transparência no uso dos dados pessoais dos cidadãos, impactando o dia-dia de todas as Empresas aqui instaladas.

A lei entrou em vigor de maneira escalonada. Em 28.12.2018 passaram a vigorar os artigos relacionados à constituição da Autoridade Nacional de Proteção de Dados – ANPD e do Conselho Nacional de Proteção de Dados Pessoais e da Privacidade – CNPDPP. Em 18.09.2020 entraram em vigor os demais artigos da lei, exceto os dispositivos que tratam da aplicação de sanções administrativas. Esses últimos, apenas em 01.08.2021, tiveram a vigência iniciada.

A LGPD envolve diversos princípios, direitos e obrigações relacionados ao uso de um dos ativos intangíveis mais valiosos da sociedade digital, as bases de dados relacionadas às pessoas.

A Lei apresenta um conceito amplo de “dado pessoal”, em seu art. 5º, inciso I, como a informação relacionada à pessoa natural identificada ou identificável. Por sua vez, os “dados pessoais sensíveis” são uma categoria de dados pessoais especialmente protegida pela norma acima, devido à sua maior vinculação a direitos fundamentais e ao maior risco relacionado ao seu uso.

A expressão “tratamento de dados” é definida pela Lei como toda operação realizada com dados pessoais, por exemplo, a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração, nos termos do inciso X do art. 5º da norma em questão.

Até a presente data a ANPD, no uso de suas atribuições, aprovou 04 (quatro) Resoluções no intuito de promover o cumprimento da LGPD. Vejamos:

A Resolução CD/ANPD nº 1, de 28.10.2021, aprovou o “Regulamento do Processo de Fiscalização e do Processo Administrativo Sancionador” no âmbito da ANPD.

Em 27 de janeiro de 2022, adveio a Resolução CD/ANPD nº 2, de 27.01.2022, com a aprovação do “Regulamento de aplicação da Lei nº 13.709, de 14 de agosto de 2018, Lei Geral de Proteção de Dados Pessoais (LGPD), para agentes de tratamento de pequeno porte”.

Com a Resolução CD/ANPD nº 3, de 25.01.2023, foi instituído o Comitê de Governança Digital da Autoridade Nacional de Proteção de Dados (CGD/ANPD), órgão de caráter permanente com a finalidade de deliberar sobre assuntos relativos à implementação de ações de governo digital e ao uso de recursos de tecnologia da informação e comunicação no âmbito da Autoridade.

Prevista pelo art. 53 da LGPD, a recentíssima Resolução CD/ANPD nº 4, de 24/02/2023, é requisito para a aplicação de multas pela Autoridade, por isso que essa nova norma prevê o “Regulamento de Dosimetria e Aplicação de Sanções Administrativas”, estabelecendo parâmetros e critérios para aplicação de sanções administrativas pela ANPD, bem como formas e dosimetrias para o cálculo do valor-base das sanções de multa.

A Dosimetria norteia a alternativa da sanção mais apropriada caso a caso sempre que houver violação à LGPD, a partir daí a ANPD calcula, quando cabível, o valor da multa a ser aplicada ao infrator.

A aprovação da Resolução CD/ANPD nº 4 foi importante porque tem relação com a atuação sancionadora da ANPD, tornando-a mais efetiva, reforçando a atuação fiscalizatória da Autoridade.

A nova Resolução trouxe, também, alteração da Resolução CD/ANPD nº 1, que trata das regras para o processo de fiscalização e para o processo administrativo sancionador da Autoridade.

Portanto, o regulamento recém aprovado é a norma que vai estabelecer as circunstâncias, as condições e os métodos de aplicação das sanções, analisando, dentre outros aspectos, o dano ou o prejuízo causado aos titulares dos dados pelo descumprimento da Lei.

Além disso, havendo o cometimento de irregularidades no tratamento de dados, caso a Empresa deseje valer-se das atenuantes previstas na Resolução, caberá a essa o ônus de comprovar à ANPD que cumpriu os requisitos previstos no artigo 13 da norma.

Ademais, importante destacar que as infrações serão classificadas segundo a gravidade e a natureza (leve, média e grave) para que a ANPD aplique a sanção devida. O valor das multas a serem aplicadas a título de sanção vão de até 2% (dois por cento) do faturamento da empresa, podendo chegar ao teto de R$50.000.000,00 (cinquenta milhões de reais), por infração.

Outrossim, em havendo incidente de segurança, os Empreendedores ainda precisam ficar atentos para identificar se a sanção está sendo aplicada em bis in idem por atingir direitos de competências correlatas com outra(s) Agência(s) Regulatória(s).

Por fim, vale lembrar que a implementação de medidas efetivas de proteção de dados precisam ser uma prática contínua nas Empresas, e não pontual após a transgressão da norma. Isso requer a realização de mudanças internas e necessárias na cultura das empresas, tais como a adoção de medidas técnicas, preventivas e administrativas, e o desenvolvimento de políticas de boas práticas e governança para a proteção de dados.

Essa clareza nas diretrizes para aplicação das sanções é fundamental para garantir que a LGPD seja cumprida em sua integralidade e que as empresas e instituições que tratam dados pessoais tenham o alicerce da segurança jurídica. Além disso, como consequência, a lei termina por conscientizar as Empresas sobre a necessidade de adotar medidas de segurança adequadas e cumprir, na literalidade, a lei de proteção de dados.

*Antonio Souza Miguel Neto e
Vanessa Krauss de Oliveira Dias integram os quadros da Limongi Advocacia e colaboram com o blogdellas.

Imagens: Divulgação/E-mail: redacao@blogdellas.com.br