Aprovação de regras para multas da LGPD deve gerar nova ‘corrida da adequação’
Para Patricia Helena Martins, do TozziniFreire, aplicação de multas deve fazer organizações priorizarem novamente estratégias de compliance e proteção
Agora que a norma de dosimetria da Lei Geral de Proteção de Dados (LGPD) foi finalmente publicada pelo órgão regulador – a Agência Nacional de Proteção de Dados –, é provável que as organizações promovam uma nova “corrida” da adequação, incluindo programas de compliance em privacidade e proteção de dados. A opinião é de Patricia Helena Marta Martins, sócia do escritório TozziniFreire Advogados e especialista nas áreas de cibersegurança e privacidade.
“Possivelmente algumas empresas irão acelerar, principalmente quando tivermos a primeira decisão aplicando uma penalidade”, ponderou a advogada, em entrevista exclusiva ao IT Forum. “Muitas acabaram priorizando outras questões e deixaram a plena adequação para um momento posterior.”
Leia também: Sonepar Brasil corrige mais de mil acessos de usuários ao revisar adequação à LGPD
Dados levantados pela reportagem no Antes da TI, a Estratégia, feito pela área de estudos da IT Mídia, revelam que 40% dos CIOs e executivos de TI das organizações ouvidos até agora na edição de 2023 do levantamento se consideram totalmente aderentes à legislação, enquanto outros 50% dizem ter iniciativas concretas e pessoal alocado. No entanto ainda há muito o que fazer: 55% tem como prioridade se adequarem à LGPD nos próximos meses.
Patricia acha que é melhor que esses CIOs corram, uma vez que as primeiras multas devem sair ainda no primeiro semestre desse ano. Mas, segundo ela, multar não é a principal virtude do novo regulamento, mas sim seu cunho “orientativo e normativo”, que busca primeiro conscientizar antes de fazer doer no bolso das organizações.
IT Forum: A norma de dosimetria foi finalmente publicada pela ANPD. Quanto tempo até que algum processo de sanção finalmente gere penalidades financeiras?
Patricia Helena Martins: A pena de multa, assim como praticamente todas as demais sanções previstas na LGPD e no Regulamento publicado hoje, serão aplicadas pela ANPD após a conclusão do processo administrativo, no qual é assegurado o direito de defesa e produção de prova por parte da empresa autuada. Segundo informações públicas divulgadas pela própria ANPD, há oito processos administrativos que já comportam julgamento, o que é um indicativo de que as primeiras decisões devem sair ainda neste semestre.
ITF: Qual o perfil dos oito processo que aguardavam essa publicação? Serão multas grandes ou apenas advertências? O que você acha?
Patricia: Esses processos tramitam em sigilo, mas conforme as informações públicas disponíveis, há a indicação de que tais processos envolvam incidentes de segurança – vazamento de dados. As sanções considerarão uma série de critérios estabelecidos tanto pela LGPD quanto pelo novo Regulamento.
Considerando que a pena de multa é a mais frequentemente aplicada pelos órgãos e agências brasileiras e que o mesmo vem acontecendo com o enforcement do General Data Protection Regulation (GDPR) no âmbito de sua aplicação, podemos ter a sua aplicação para os oito casos que aguardavam a publicação. O valor é fruto de um cálculo relativamente complexo, e dependerá, em geral, do faturamento da empresa e da vantagem financeira que auferiu com a violação, da classificação da infração como leve, média ou grave, e de eventual dano causado aos titulares.
ITF: Por que demorou tanto para a publicação dessa norma? E que problemas essa demora pode ter trazido para o ambiente brasileiro de proteção de dados?
Patricia: Os artigos da LGPD referentes às sanções entraram em vigor em agosto de 2021. Nesse meio, tempo, o Regulamento foi submetido a duas consultas internas, uma consulta pública que recebeu o maior número de contribuições (2.504 ao todo) por parte da sociedade civil, academia e indústria e uma Audiência Pública. A ANPD vem trabalhando nesse e em outros regulamentos desde sua criação, sempre com o objetivo acertado de criar uma regulação participativa.
Foi o tempo necessário para a discussão profunda do tema, que é bastante complexo. Ou seja, isso faz parte do processo normativo e não necessariamente significa que é um problema, pois durante esse período a ANPD publicou entendimentos e orientações acerca de outros temas, e o cenário de proteção de dados acabou amadurecendo um pouco mais. Por essa razão, a não aplicação de penalidades até o presente momento não é negativa, pois durante esse período continuamos tendo discussões e avanços sobre o tema.
ITF: Muitas organizações ainda não se adequaram à LGPD. A publicação da dosimetria deve acelerar esses processos?
Patricia: Com a publicação do Regulamento, devemos observar uma nova onda de adequação e programas de compliance em privacidade e proteção de dados. Possivelmente algumas empresas irão acelerar, principalmente quando tivermos a primeira decisão aplicando uma penalidade.
De qualquer forma, o que temos visto é que muitas empresas já iniciaram sim os seus processos de adequação, mas muitas acabaram priorizando outras questões e deixaram a plena adequação para um momento posterior. Como a aplicação de multas agora passa a ser uma realidade, acaba sendo um incentivo para as empresas concluírem seus projetos de adequação e documentarem as medidas que estão adotando.
ITF: Que avaliação você faz da norma publicada? No geral é positiva?
Patricia: A norma, no geral, é positiva e demonstra a intenção da Autoridade em promover uma regulação responsiva participativa, não apenas em razão do Regulamento, mas também tendo em mente a própria Agenda Regulatória da ANPD, que prevê uma série de ações da Autoridade de cunho orientativo e normativo.
ITF: E quais os principais pontos negativos, na sua opinião?
Patricia: Alguns pontos merecem atenção, como a manutenção de conceitos abertos como o tratamento de dados pessoais em larga escala, que inclusive passou a ser um critério para classificação de infração grave; a fórmula de cálculo da sanção de multa, que prevê uma valorização maior das agravantes em relação às atenuantes, o que pode infringir o princípio da razoabilidade e da proporcionalidade.
ITF: Você acredita que haverá questionamento judicial quando as multas foram aplicadas? Por quê?
Patricia: Dependerá da forma como os processos administrativos serão conduzidos, mas o Brasil possui sim uma cultura de judicialização de penas aplicadas por órgãos administrativos.
O Judiciário tende a reformar decisões administrativas apenas quando demonstrado que há deficiência na motivação e na fundamentação legal utilizada para enquadramento da infração e aplicação da sanção, bem como quando não há o correto tramite processual e/ou quando as provas apresentadas.