Arthur Guimarães
A Autoridade Nacional de Proteção de Dados (ANPD) pode dar início ao processo de fiscalização de agentes de tratamento e sancioná-los por eventuais desvios a partir do final do início de janeiro, de acordo com a avaliação do Comitê de Proteção de Dados da Federação do Comércio de Bens, Serviços e Turismo do Estado de São Paulo (FecomercioSP).
Os artigos da Lei Geral de Proteção de Dados Pessoais (LGPD) sobre sanções administrativas entraram em vigor em agosto de 2021. A legislação explicita os critérios a serem aplicados e as penas possíveis, que podem variar de uma simples advertência a uma multa de R$ 50 milhões por infração. A autoridade também publicou, em outubro do ano passado, o regulamento sobre o processo de fiscalização e o processo administrativo sancionador.
A carta que falta para esse castelo parar de pé é a regulamentação de como será realizado o cálculo para aplicação de penalidades, assunto que já começou a ser endereçado pelo órgão federal. No último mês de agosto, a ANPD abriu para uma consulta pública sobre a minuta de resolução que regulamenta a dosimetria de pena.
“Com tudo isso, a dosimetria, o regulamento da fiscalização, os artigos em vigor das sanções, já se cria um cenário para que a Autoridade Nacional de Proteção de Dados iniciei a fiscalização. Informações extra oficiais nos apontam que, até o início de janeiro, tudo isso estaria pronto, com o cenário de que a autoridade pudesse começar a efetuar a fiscalização e aplicar as sanções,” disse Adriana Esper, coordenadora do Comitê Proteção de Dados da FecomercioSP, em entrevista.
A advogada contou que existe uma ansiedade no mercado em relação ao início da fiscalização e da aplicação de multas, o que não é necessariamente negativo. O avanço na regulamentação por parte da ANPD tende a fazer com que os agentes de tratamento de dados se movam em busca de uma adequação mais rigorosa à lei. O início da fiscalização e a possibilidade de aplicação de penalidades trazem um reforço para a LGPD.
Início de janeiro é o cenário-base da associação, mas a previsão era o fim de outubro. Esper colocou na balança que a Autoridade Nacional de Proteção de Dados é um órgão enxuto, ainda ligado à Presidência da República, sem as dimensões da Agência Nacional de Vigilância Sanitária (Anvisa) ou do Conselho Administrativo de Defesa Econômica (Cade). Ela acrescentou que este é um ano eleitoral, quando há muito acontecendo e nem sempre sobra espaço para outras demandas.
Tratamento de alto risco
Além dos parâmetros já apontados em lei, a coordenadora do Comitê Proteção de Dados da FecomercioSP disse esperar que a análise de dosimetria considere o tratamento de dados de alto risco.
A Resolução 2/2022 da ANPD define o tratamento de alto risco como aquele realizado em larga escala e/ou que afete significativamente direitos fundamentais. Um desses critérios (gerais) precisa ser atendido. É preciso ainda que o tratamento faça uso de tecnologias inovadoras, seja feito em áreas públicas, recorra unicamente à automatização ou utilize dados pessoais sensíveis, bem como de crianças, de adolescentes e de idosos (critérios específicos). O tratamento deve estar englobado em ao menos um item de cada especificação.
Segundo Esper, uma empresa de pequeno porte conforme os moldes fiscais, de receita e funcionários, por exemplo, pode vir a ser enquadrada em outra categoria sob a ótica da proteção de dados, a depender da escala e dos riscos relacionados ao tratamento. Isso levaria à necessidade de atenção a exigências mais rigorosas, como a contratação de um encarregado (DPO). O delineamento do tratamento de alto risco, no entanto, ainda precisa ser regulamentado pela ANPD.
Segundo a especialista, o que fica é a constante exigência de conformidade em razão da velocidade com que as tecnologias avançam. “A adequação é uma rota mão única. Ela não vai parar. O regulador e o regulado vão ter que andar de mãos dadas, de forma que não exista colisão, porque só assim a lei vai ser bem implementada e vai trazer segurança jurídica para o mercado.”
