Na sua redação original, a Lei Geral de Proteção de Dados (LGPD) entraria em vigor em 14 de agosto de 2020, mas a instabilidade provocada pela pandemia de coronavírus levou a um impasse quanto à prorrogação do início da sua vigência. A medida provisória 959/2020 pretendia estender o prazo para 2021, mas o Senado Federal a rejeitou e, assim, a LGPD entrou em vigor em 18 de setembro de 2020. Considerando o contexto socioeconômico crítico, decidiu-se que as sanções administrativas começarão a valer somente em agosto de 2021.
Ou seja, a partir de 1º de agosto de 2021 a Autoridade Nacional de Proteção de Dados (ANPD) poderá aplicar sanções administrativas, que vão desde advertência e bloqueio de acesso a banco de dados até aplicação de multa de até 2% do faturamento, limitada a R$ 50 milhões por infração. As penalidades podem onerar o caixa das empresas não apenas mediante a aplicação da multa pecuniária, mas também pela divulgação da infração e o bloqueio de acesso a banco de dados, por exemplo, que podem dificultar o pleno exercício das suas atividades.
A LGPD prevê que o titular de dados pessoais “tem o direito de peticionar em relação aos seus dados contra o controlador perante a autoridade nacional” (artigo 18, §1º). Cabe à ANPD “apreciar petições de titular contra controlador após comprovada pelo titular a apresentação de reclamação ao controlador não solucionada no prazo estabelecido em regulamentação” (artigo 55-J, V). No sítio eletrônico da ANPD já foi disponibilizado canal de denúncias para que “uma vez não atendido, o titular de dados pode apresentar à ANPD petições contendo comprovação da apresentação de reclamação ao controlador não solucionada”. A denúncia pode ser apresentada eletronicamente por meio do seguinte link.
Desde 18 de setembro de 2020, todas as empresas e órgãos públicos devem nomear um encarregado (Data Protection Officer ou DPO) para, dentre outras funções, atender o titular de dados (qualquer pessoa natural ou física) e permitir que exerça os seus direitos.
Isto é, o consumidor, empregado, ex-empregado, representante de um fornecedor, prestador de serviços, pode entrar em contato com o encarregado para requerer: confirmação da existência do tratamento; acesso aos dados; correção de dados incompletos, inexatos ou desatualizados; anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD; portabilidade; eliminação; informações sobre compartilhamento; e informações sobre o consentimento e sua revogação.
O tratamento de dados pessoais feito com base no consentimento deve observar todos os requisitos da LGPD, que impõe o seu fornecimento por escrito ou outro meio que demonstre a manifestação expressa da vontade do titular e, se fornecido em contrato, deve estar em cláusula destacada das demais. O consentimento está vinculado a finalidades determinadas, sendo as autorizações genéricas consideradas nulas. Por fim, o consentimento pode ser revogado a qualquer tempo mediante manifestação expressa do titular. Se a empresa ainda não tiver nomeado um encarregado e/ou não dispor de canal de atendimento ao titular, configura-se violação à LGPD, que pode ser reportada à ANPD.
Além de qualquer pessoa física poder reportar violação à LGPD, outros órgãos públicos e entes privados podem apresentar denúncia à ANPD, especialmente quando afetar interesses coletivos, como, por exemplo, de consumidores e empregados.
Observamos, inclusive, o esforço da ANPD para atuar em conjunto com outras entidades. Em março de 2021, a ANPD celebrou acordo de cooperação técnica com a Secretaria Nacional do Consumidor (Senaco-MJSP) visando à proteção de dados dos consumidores. Um dos pontos do acordo prevê “a uniformização de entendimentos e coordenação de ações, inclusive no que tange ao endereçamento de reclamações de consumidores e à atuação no caso de incidentes de segurança envolvendo dados pessoais de consumidores”.
Por isso, podemos esperar a atuação conjunta da ANPD com outros órgãos de defesa do direito do consumidor, que já têm um histórico relevante na proteção de dados em caso de incidentes de vazamento ou uso abusivo de dados pessoais, mesmo antes do início da vigência da LGPD. Ademais, no recente caso do megavazamento de dados pessoais reportado em janeiro deste ano, a ANPD e a Polícia Federal apuram conjuntamente o incidente, pois envolveu também dados de autoridades da República do primeiro escalão.
Embora a ANPD seja uma entidade jovem na Administração Pública brasileira, tendo a sua diretoria sido empossada recentemente, o regimento interno da entidade e suas primeiras atuações indicam que ela chegará em breve até as empresas que não respeitam a LGPD.
Segundo o regimento interno da ANPD, cabe à Secretaria-Geral de Fiscalização fiscalizar e aplicar as sanções administrativas por meio de processo administrativo que observe o contraditório, a ampla defesa e o direito de recurso. Os fiscais têm o poder-dever de promover ações de fiscalizações e apreciar as petições de titulares de dados pessoais apresentados à ANPD contra o controlador e, em caso de indícios de violação à LGPD, iniciar o processo administrativo de apuração. Dentre outras atribuições, a secretaria pode fazer diligências e produzir provas no âmbito da sua competência, ou seja, pode solicitar documentos, inspecionar a atividade do controlador e obter parecer técnico com auxílio da Coordenação-Geral de Tecnologia e Pesquisa.
No âmbito do processo administrativo perante a ANPD, o controlador poderá exercer seu direito de defesa, produzir provas e apresentar documentos. Caso a Secretaria-Geral de Fiscalização entenda que se configurou violação à LGPD, deve aplicar sanção administrativa, cuja decisão está sujeita a recurso para o conselho diretor.
É importante ressaltar que o recurso administrativo, em regra, não tem efeito suspensivo, ou seja, a sanção é aplicável imediatamente e, em caso de reforma da decisão pelo conselho diretor, ela terá sua aplicação revogada. A apreciação do recurso se dá pelo órgão colegiado do conselho diretor por maioria simples de votos, devidamente fundamentados. Se a aplicação da penalidade for mantida, a única forma de questioná-la é por meio de ação judicial perante a Justiça Federal, que, por sua complexidade, supõem-se que seja morosa e custosa em razão das questões técnicas envolvidas. É importante ressaltar que, no caso da aplicação de multa, se esta não for paga no prazo estabelecido na condenação, ela será inscrita em dívida ativa e sujeita à execução fiscal pela União, com todas as consequências negativas conhecidas para o devedor de tributos federais.
Em síntese, podemos esperar nos próximos meses o aumento da demanda da sociedade perante a ANPD, em razão da crescente conscientização quanto à relevância dos dados pessoais e, consequentemente, a atuação intensa da fiscalização em conjunto com outros órgãos públicos e entidades de defesa de interesses coletivos . É importante que as empresas, por meio do seu encarregado (DPO), estejam preparadas para atender os direitos dos titulares, tenham um plano de resposta a incidentes e respondam às notificações da ANPD com a documentação técnica e jurídica necessárias.
Ursula Ribeiro de Almeida é sócia da Roncato Advogados, doutora e mestre em Direito pela Universidade de São Paulo.
Fonte: Conjur