A Autoridade Nacional de Proteção de Dados (ANPD) divulgou na semana passada uma lista de processos administrativos que está conduzindo[1]. Essa divulgação vem após quase um mês da publicação do Regulamento de Dosimetria e Aplicação de Sanções Administrativas da ANPD (Resolução n. 4, de 24/2/2023); este era o último documento que faltava para que a ANPD pudesse começar a atuar contra infratores à Lei Geral de Proteção de Dados (LGPD). Nós falamos sobre a publicação deste documento neste link, não deixe de conferir!
A lista de processos divulgada pela ANPD nos abre uma importante janela para a compreensão de como a ANPD conduzirá seu processo de fiscalização na prática. Isso inclui, por exemplo, as infrações que a ANPD vem fiscalizando nestes processos divulgados.
As infrações à LGPD não se limitam ao famoso vazamento de dados pessoais. A entidade desportiva pode ser punida, por exemplo, por ofensa à um princípio eventualmente não observado em determinada atividade de tratamento.
Veja a lista de processos e observe as condutas investigadas em cada um deles:
Processos Administrativos Sancionadores instaurados pela ANPD:
- Ministério da Saúde. Setor Público. Instaurado em 07/03/2022. Com o intuito de investigar as condutas: não atendimento à requisição da ANPD; ausência de encarregado de dados pessoais; ausência de comunicação de incidente de segurança. Atualmente se encontra na fase de instrução processual. Processo nº 00261.000456/2022-12.
- Telekall. Setor Privado. Instaurado em 10/03/2022. Com o intuito de investigar as condutas: ausência de comprovação de hipótese legal; ausência de registro de operações; não envio de Relatório de Impacto de Proteção de Dados; ausência de encarregado de dados pessoais; não atendimento à requisição da ANPD. Atualmente se encontra na fase de instrução processual. Processo nº 261.000489/2022-62.
- Instituto de Pesquisas Jardim Botânico do Rio de Janeiro. Setor Público. Instaurado em 22/03/2022. Com o intuito de investigar as condutas: não comunicação de incidente de segurança; não atendimento à requisição da ANPD. Atualmente se encontra na fase de instrução processual. Processo nº 00261.000574/2022-21.
- Secretaria de Educação do Distrito Federal. Setor Público. Instaurado em 10/06/2022. Com o intuito de investigar as condutas: não atendimento à requisição da ANPD. Atualmente se encontra na fase de instrução processual. Processo nº 00261.001192/2022-14.
- Ministério da Saúde. Setor Público. Instaurado em 12/09/2022. Com o intuito de investigar as condutas: ausência de comunicação a titulares de incidente de segurança; ausência de medidas de segurança. Atualmente se encontra na fase de instrução processual. Processo nº 00261.001882/2022-73.
- Secretaria de Estado da Saúde de Santa Catarina. Setor Público. Instaurado em 14/09/2022. Com o intuito de investigar as condutas: ausência de comunicação a titulares de incidente de segurança; ausência de medidas de segurança; não atendimento a determinações da ANPD. Atualmente se encontra na fase de instrução processual. Processo nº 00261.001886/2022-51.
- Instituto de Assistência ao Servidor Público Estadual de São Paulo – IAMSPE. Setor Público. Instaurado em 30/09/2022. Com o intuito de investigar as condutas: ausência de comunicação a titulares de incidente de segurança; ausência de medidas de segurança. Atualmente se encontra na fase de instrução processual. Processo nº 00261.001969/2022-41.
- Secretaria de Desenvolvimento Social, Criança e Juventude-PE. Setor Público. Instaurado em 07/10/2022. Com o intuito de investigar as condutas: ausência de comunicação a titulares de incidente de segurança; ausência de medidas de segurança. Atualmente se encontra na fase de instrução processual. Processo nº 00261.001963/2022-73.
Perceba que, em muitos casos, as condutas investigadas giram em torno da ausência de medidas de segurança. A LGPD determina que os agentes de tratamento (as entidades desportivas são agentes de tratamento) devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.
Além de adotar tais medidas de segurança, é fundamental que as entidades desportivas sejam capazes de demonstrar tal adoção. Neste sentido, são importantes as lições de Maria Celina Bodin de Morais sobre a responsabilidade proativa na LGPD[2]:
A partir de 2020, quando a lei entra em vigor plenamente, qualquer organização a ela sujeita terá que provar: i) que avaliou e, se necessário, redesenhou adequadamente o processamento de dados pessoais; ii) que as medidas de segurança implementadas são adequadas e eficazes; iii) que aplica uma política de privacidade interna com obrigações claras, ações concretas vinculadas a cada uma e que foram designados os responsáveis pelo cumprimento; iv) que nomeou um encarregado e que v) exige esse mesmo cumprimento responsável de seus funcionários e na sua cadeia de terceirização.
A autora, como indica o trecho acima transcrito, sustenta o entendimento destacando o artigo 6º, inciso X da LGPD, que prevê o princípio da “responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas”.
Tal princípio determina que não é suficiente que o agente de tratamento cumpra o determinado pela lei, mas que demonstre “a adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, a eficácia dessas medidas”.
Mais o que cumprir, portanto, é necessário demonstrar o cumprimento.
O entendimento da autora sobre a aplicação da responsabilidade proativa parece estar em consonância com a posição da ANPD. Em documento publicado em julho de 2022 intitulado “Relatório de Análise de Impacto Regulatório – Construção do modelo regulatório previsto na LGPD com relação à aplicação de sanções administrativas e às metodologias de cálculo do valor-base das sanções de multas”, a ANPD prevê os seguintes objetivos do modelo de aplicações de sanções[3]:
(i) induza o comportamento adequado conforme a LGPD, recompensando os regulados virtuosos, ou seja, aqueles que cumprem a regulação, oferecendo orientação e promovendo a conscientização, e crie espaços para construção de soluções negociais e atingimento da plena conformidade; (ii) veja o processo completo de constrangimento regulatório da ANPD, capaz de lidar com as mais diversas informações, sejam elas entregues pela sociedade ou captadas pela ANPD; (iii) dê à ANPD um espaço flexível e amplamente transparente para o emprego ágil de meios e ferramentas, sempre vinculados ao escopo de sua atuação; e (iv) seja capaz de fornecer segurança jurídica aos administrados, dando previsibilidade de sua atuação, amparada em um processo administrativo que assegure o contraditório, a ampla defesa e o direito de recurso. (grifo nosso).
Percebe-se que o primeiro objetivo do modelo de aplicação de sanções construído pela ANPD é justamente o de moldar o comportamento do agente de tratamento, de forma a “recompensar os regulados virtuosos”, ou seja, os que são cumpridores da LGPD e que conseguem demonstrar tal cumprimento.
A “recompensa” é a aplicação de atenuantes na dosimetria das sanções. Ora, se o comportamento prévio à ocorrência do dano é critério para auferir a dosimetria da pena, é possível concluir que a ANPD comunga do entendimento em relação à responsabilidade civil proativa na LGPD.
Isso nos faz concluir que é fundamental que entidades desportivas não somente cumpram o disposto na LGPD, mas que sejam capazes de demonstrar o cumprimento!
Nos siga nas redes sociais: @leiemcampo
[1] https://www.gov.br/anpd/pt-br/assuntos/noticias/anpd-divulga-lista-de-processos-sancionatorios
[2] BODIN DE MORAES, Maria Celina. LGPD: um novo regime de responsabilização civil dito “proativo”. Editorial à Civilistica.com. Rio de Janeiro: a. 8, n. 3, 2019. Disponível em: http://civilistica.com/lgpd-um-novo-regime/.
[3] AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS (ANPD). Relatório de Análise de Impacto Regulatório – Construção do modelo regulatório previsto na LGPD com relação à aplicação de sanções administrativas e às metodologias de cálculo do valor-base das sanções de multas. 2022. Disponível em: <https://www.gov.br/anpd/pt-br/documentos-e-publicacoes/2022-06-30___air_reg_dosimetria_.pdf>.