Aprovação de regras para multas da LGPD deve gerar nova ‘corrida da adequação’

Para Patricia Helena Martins, do TozziniFreire, aplicação de multas deve fazer organizações priorizarem novamente estratégias de compliance e proteção

Author Photo
6:05 pm - 27 de fevereiro de 2023
Patricia Helena Marta Martins. Foto: Divulgação

Agora que a norma de dosimetria da Lei Geral de Proteção de Dados (LGPD) foi finalmente publicada pelo órgão regulador – a Agência Nacional de Proteção de Dados –, é provável que as organizações promovam uma nova “corrida” da adequação, incluindo programas de compliance em privacidade e proteção de dados. A opinião é de Patricia Helena Marta Martins, sócia do escritório TozziniFreire Advogados e especialista nas áreas de cibersegurança e privacidade.

“Possivelmente algumas empresas irão acelerar, principalmente quando tivermos a primeira decisão aplicando uma penalidade”, ponderou a advogada, em entrevista exclusiva ao IT Forum. “Muitas acabaram priorizando outras questões e deixaram a plena adequação para um momento posterior.”

Leia também: Sonepar Brasil corrige mais de mil acessos de usuários ao revisar adequação à LGPD

Dados levantados pela reportagem no Antes da TI, a Estratégia, feito pela área de estudos da IT Mídia, revelam que 40% dos CIOs e executivos de TI das organizações ouvidos até agora na edição de 2023 do levantamento se consideram totalmente aderentes à legislação, enquanto outros 50% dizem ter iniciativas concretas e pessoal alocado. No entanto ainda há muito o que fazer: 55% tem como prioridade se adequarem à LGPD nos próximos meses.

Patricia acha que é melhor que esses CIOs corram, uma vez que as primeiras multas devem sair ainda no primeiro semestre desse ano. Mas, segundo ela, multar não é a principal virtude do novo regulamento, mas sim seu cunho “orientativo e normativo”, que busca primeiro conscientizar antes de fazer doer no bolso das organizações.

 

IT Forum: A norma de dosimetria foi finalmente publicada pela ANPD. Quanto tempo até que algum processo de sanção finalmente gere penalidades financeiras?

Patricia Helena Martins: A pena de multa, assim como praticamente todas as demais sanções previstas na LGPD e no Regulamento publicado hoje, serão aplicadas pela ANPD após a conclusão do processo administrativo, no qual é assegurado o direito de defesa e produção de prova por parte da empresa autuada. Segundo informações públicas divulgadas pela própria ANPD, há oito processos administrativos que já comportam julgamento, o que é um indicativo de que as primeiras decisões devem sair ainda neste semestre.

 

ITF: Qual o perfil dos oito processo que aguardavam essa publicação? Serão multas grandes ou apenas advertências? O que você acha?

Patricia: Esses processos tramitam em sigilo, mas conforme as informações públicas disponíveis, há a indicação de que tais processos envolvam incidentes de segurança – vazamento de dados. As sanções considerarão uma série de critérios estabelecidos tanto pela LGPD quanto pelo novo Regulamento.

Considerando que a pena de multa é a mais frequentemente aplicada pelos órgãos e agências brasileiras e que o mesmo vem acontecendo com o enforcement do General Data Protection Regulation (GDPR) no âmbito de sua aplicação, podemos ter a sua aplicação para os oito casos que aguardavam a publicação. O valor é fruto de um cálculo relativamente complexo, e dependerá, em geral, do faturamento da empresa e da vantagem financeira que auferiu com a violação, da classificação da infração como leve, média ou grave, e de eventual dano causado aos titulares.

 

ITF: Por que demorou tanto para a publicação dessa norma? E que problemas essa demora pode ter trazido para o ambiente brasileiro de proteção de dados?

Patricia: Os artigos da LGPD referentes às sanções entraram em vigor em agosto de 2021. Nesse meio, tempo, o Regulamento foi submetido a duas consultas internas, uma consulta pública que recebeu o maior número de contribuições (2.504 ao todo) por parte da sociedade civil, academia e indústria e uma Audiência Pública. A ANPD vem trabalhando nesse e em outros regulamentos desde sua criação, sempre com o objetivo acertado de criar uma regulação participativa.

Foi o tempo necessário para a discussão profunda do tema, que é bastante complexo. Ou seja, isso faz parte do processo normativo e não necessariamente significa que é um problema, pois durante esse período a ANPD publicou entendimentos e orientações acerca de outros temas, e o cenário de proteção de dados acabou amadurecendo um pouco mais. Por essa razão, a não aplicação de penalidades até o presente momento não é negativa, pois durante esse período continuamos tendo discussões e avanços sobre o tema.

 

ITF: Muitas organizações ainda não se adequaram à LGPD. A publicação da dosimetria deve acelerar esses processos?

Patricia: Com a publicação do Regulamento, devemos observar uma nova onda de adequação e programas de compliance em privacidade e proteção de dados. Possivelmente algumas empresas irão acelerar, principalmente quando tivermos a primeira decisão aplicando uma penalidade.

De qualquer forma, o que temos visto é que muitas empresas já iniciaram sim os seus processos de adequação, mas muitas acabaram priorizando outras questões e deixaram a plena adequação para um momento posterior. Como a aplicação de multas agora passa a ser uma realidade, acaba sendo um incentivo para as empresas concluírem seus projetos de adequação e documentarem as medidas que estão adotando.

 

ITF: Que avaliação você faz da norma publicada? No geral é positiva?

Patricia: A norma, no geral, é positiva e demonstra a intenção da Autoridade em promover uma regulação responsiva participativa, não apenas em razão do Regulamento, mas também tendo em mente a própria Agenda Regulatória da ANPD, que prevê uma série de ações da Autoridade de cunho orientativo e normativo.

 

ITF: E quais os principais pontos negativos, na sua opinião?

Patricia: Alguns pontos merecem atenção, como a manutenção de conceitos abertos como o tratamento de dados pessoais em larga escala, que inclusive passou a ser um critério para classificação de infração grave; a fórmula de cálculo da sanção de multa, que prevê uma valorização maior das agravantes em relação às atenuantes, o que pode infringir o princípio da razoabilidade e da proporcionalidade.

 

ITF: Você acredita que haverá questionamento judicial quando as multas foram aplicadas? Por quê?

Patricia: Dependerá da forma como os processos administrativos serão conduzidos, mas o Brasil possui sim uma cultura de judicialização de penas aplicadas por órgãos administrativos.

O Judiciário tende a reformar decisões administrativas apenas quando demonstrado que há deficiência na motivação e na fundamentação legal utilizada para enquadramento da infração e aplicação da sanção, bem como quando não há o correto tramite processual e/ou quando as provas apresentadas.

Author Photo
Marcelo Gimenes Vieira

Jornalista com mais de 13 anos de experiência nos setores de TI, inovação, games, telecomunicações e saúde, sempre com um viés de negócios.

É fundador do The Gaming Era, primeiro portal brasileiro de notícias de negócios com foco no mercado de jogos eletrônicos, os games.

Author Photo

Newsletter de tecnologia para você

Os melhores conteúdos do IT Forum na sua caixa de entrada.