Por Gustavo Chaves Barcellos e Layon Lopes*
Nesta última terça-feira, dia 9, foi publicada a Lei 13.853 que cria a tão falada Autoridade Nacional de Proteção de Dados (ANPD). Trata-se de novo órgão do Governo Federal voltado para edição e fiscalização da observância dos procedimentos referentes à proteção dos dados pessoais.
De acordo com esta nova lei, a ANPD ficará responsável por propor diretrizes gerais para a Política Nacional de Proteção de Dados Pessoais e Privacidade, bem como por aplicar sanções nos casos de tratamento irregular dos dados coletados pelas empresas de tecnologia.
E como funciona a tal ANPD? Hoje, ela tem caráter transitório e poderá vir a ser transformada em uma autarquia vinculada à presidência da república. Ainda, ela foi concebida organizacionalmente da seguinte forma:
Os diretores da ANPD serão nomeados através de mandatos fixos. Por sua vez, o Conselho Nacional de Proteção de Dados Pessoais e da Privacidade será composto por 23 representantes, titulares e suplentes, advindos de órgãos públicos e da sociedade civil.
Há de se lembrar que a lei que a instituição da ANPD tem origem na Medida Provisória 869/2018 editada pelo ex-presidente Michel Temer. Esta medida provisória alterou alguns pontos da Lei 13.709 de 2018 (Lei Geral de Proteção de Dados – LGPD) e veio, agora, a sofrer consideráveis modificações através dos vetos feitos pelo atual presidente, Jair Bolsonaro, às alterações dadas pelos parlamentares do Congresso Nacional.
Bolsonaro vetou a possibilidade da ANPD vir a cobrar taxas pelos serviços por ela prestados, uma vez que, dada a sua natureza transitória, não seria cabível que, neste momento, a autoridade viesse a cobrar valores da população. Dessa forma, a principal forma de sustento da ANPD será o próprio orçamento da União.
Ainda, foi retirada a proposta de vedação ao poder público de compartilhar com pessoas jurídicas de direito público ou privado os dados pessoais dos requerentes que utilizam a Lei de Acesso à Informações (Lei 12.527 de 2011). O presidente sustenta que diversas atividades e políticas públicas dependem de tal compartilhamento, como por exemplo, o banco de dados da Previdência Social.
No entanto, para os interesses das empresas de tecnologia, o veto mais importante dado pela presidência da república às proposições feitas pelo Congresso Nacional é a seguinte: Ficam vetados os dispositivos que ampliavam o rol de sanções administrativas aplicáveis pela ANPD. O congresso havia aprovado três novos tipos de punições que, eventualmente, poderiam impactar nas atividades das empresas de tecnologia, são elas:
(i) Suspensão parcial do funcionamento do banco de dados por 6 (seis) meses;
(ii) Suspensão do exercício das atividades de tratamento de dados pessoais por 6 (seis) meses;
(iii) Proibição parcial ou total do exercício de atividades relacionadas ao tratamento de dados.
Isso demonstra que o poder executivo se mostrou sensível aos questionamentos levantados pela iniciativa privada acerca da aplicação de tais sanções, bem como das suas hipóteses de incidência. Segundo Bolsonaro, as novas sanções propostas impossibilitariam o funcionamento de bancos de dados essenciais a diversas atividades públicas e privadas, dentre elas as desempenhadas pelas fintechs por exemplo.
Os nove vetos propostos pela presidência irão agora para uma nova sessão no Congresso Nacional, sendo que são necessários, para derrubá-los, no mínimo, 257 votos de deputados federais e 41 votos de senadores.
Por outro lado, é bom que as empresas de tecnologia que realizem o tratamento dos dados pessoais dos seus usuários fiquem atentas para as sanções que, hoje, seriam aplicáveis para os casos em que a ANPD verificasse alguma irregularidade. São elas:
(i) advertência, com indicação de prazo para adoção de medidas corretivas;
(ii) multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
(iii) multa diária, observado o limite total a que se refere o item acima;
(iv)publicização da infração após devidamente apurada e confirmada a sua ocorrência;
(v) bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
(vi) eliminação dos dados pessoais a que se refere a infração.
Quanto à imposição destas sanções, verifica-se que elas serão aplicadas pela ANPD após a realização de procedimento administrativo (momento em que as empresas poderão apresentar suas defesas) e levará em consideração os seguintes parâmetros e critérios:
(i) a gravidade e a natureza das infrações e dos direitos pessoais afetados;
(ii) a boa-fé do infrator;
(iii) a vantagem auferida ou pretendida pelo infrator;
(iv) a condição econômica do infrator;
(v) a reincidência;
(vi) o grau do dano;
(vii) a cooperação do infrator;
(viii) a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados;
(ix) a adoção de política de boas práticas e governança;
(x) a pronta adoção de medidas corretivas; e
(xi) a proporcionalidade entre a gravidade da falta e a intensidade da sanção.
Importante frisar que, eventual condenação administrativa das empresas pela ANPD, não impede que elas venham a ter contra si aplicadas outras sanções administrativas, civis ou penais previstas em legislação específica.
Diante deste cenário, é fundamental que as empresas de tecnologia revisem os termos de uso de suas respectivas plataformas, bem como implementem políticas de privacidade de dados que levam em consideração as disposições expostas. Para isso, elas devem contratar profissionais especializados na área de tecnologia e que estejam por dentro das tratativas políticas envolvendo a Lei Geral de Proteção de Dados e a ANPD.
Ficou com dúvidas sobre a ANPD e a Lei Geral de Proteção de Dados? A equipe do Silva | Lopes Advogados está à disposição para te auxiliar.
*Lopes é CEO do Silva | Lopes Advogados e Barcellos é integrante da equipe.
Fonte: Divulgação.