A aguardada publicação do regulamento da dosimetria da LGPD pela ANPD dá à autoridade um instrumento a mais para exercer o seu trabalho, mas que mesmo com todo a expectativa em torno da sua publicação, não é tido como o mais importante e nem como o mais efetivo na visão da área de Fiscalização do regulador
Profissionais que respondem por áreas ou atividades que estão sob a égide de reguladores costumam ficar bastante ansiosos sempre que uma nova lei é publicada. A ansiedade costuma crescer ainda mais na hora de esperar pelos decretos e diretrizes que vão ajudar os profissionais a compreenderem de forma mais acurada o que os reguladores esperam das empresas que são atingidas pela lei e, a entender de forma mais clara quais os mecanismos de fiscalização, as métricas para aplicação de sanções e outros elementos que permitam aos profissionais direcionarem o seu trabalho. Há pouco menos de dez anos, a comunidade de Compliance viveu momentos de alta ansiedade à espera do decreto que iria regulamentar aspectos importantes da Lei Anticorrupção para o mercado. Mais recentemente, com a entrada da LGPD em vigor, novamente a comunidade (ou ao menos a parcela significativa de profissionais de Compliance que também respondem pela área de proteção de dados pessoais) se viu numa situação de grandes expectativas, aguardando o modelo pelo qual seria possível entender, com mais detalhes, como a Autoridade Nacional de Proteção de Dados (ANPD) vai estabelecer as sanções às empresas por violações à LGPD.
Parte dessa expectativa foi dirimida no último dia 27 de fevereiro, com a publicação do Regulamento de Dosimetria e Aplicação de Sanções Administrativas. O regulamento entrou em vigor junto com a sua publicação. No seu processo de preparação, o documento recebeu 2.504 contribuições da sociedade em consulta pública realizada entre os dias 15 de agosto e 15 de setembro de 2022, além de 24 contribuições recebidas durante audiência pública. De acordo com a autoridade, o regulamento de dosimetria busca garantir a proporcionalidade entre a sanção aplicada e a gravidade da conduta do agente, além de proporcionar segurança jurídica aos processos fiscalizatórios e garantir o direito ao devido processo legal e ao contraditório.
O leque de sanções possíveis vai da advertência até a aplicação de multas que podem, no limite, alcançar os R$ 50 milhões, passando por publicização da infração e, no extremo, a proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
Observa-se que o modelo de fiscalização responsiva da entidade privilegia a adoção de medidas orientativas e preventivas para reconduzir os agentes de tratamento à conformidade com a lei. Ainda assim, o órgão não vinha se furtando a adotar medidas mais extremas nos casos nos quais as empresas, quando chamadas a corrigir eventuais problemas, não o fizeram, como conta o Coordenador-Geral de Fiscalização, Fabrício Guimarães Madruga Lopes, nesta entrevista concedida com exclusividade à revista LEC.
Com a publicação da dosimetria das sanções por violações à LGPD, o que as empresas devem esperar da ANPD daqui para frente em termos do processo de fiscalização e das negociações da autoridade?
Em primeiro lugar, para nós é importante que as pessoas e as empresas entendam que não estávamos esperando a publicação da dosimetria para fazer o nosso trabalho. Estamos atuando desde que o órgão existe. Na área de Fiscalização temos dois instrumentos importantes para nortear o nosso trabalho: o relatório de monitoramento e o mapa de temas prioritários. O relatório de monitoramento nos permite uma leitura do que aconteceu no último ano, uma visão muito reativa, que nos ajuda a direcionar nossos esforços de fiscalização buscando uma sintonia entre o que a sociedade apresenta para nós como algo importante para ela e o que nós, na Fiscalização, elegemos como prioridade. Esse entendimento é importante para não corrermos o risco de nos deslocarmos do que a sociedade está sentindo de fato como uma dor mais candente e preocupante no que diz respeito à proteção dos seus dados pessoais.
Por outro lado, não podemos atuar a partir apenas de uma lógica reativa. Temos certeza de que alguns problemas que podem ser potencialmente graves, jamais vão ser objeto de reclamação do titular de dados. Aí temos o mapa de temas prioritários, que é uma ferramenta proativa e descolada da realidade, justamente para que possamos alterá-la quando necessário. O mapa é um instrumento muito mais especulativo, trata-se de uma visão de futuro. “Quais situações que hoje não são problema, mas podem vir a ser?”. “O que no futuro pode ser, de fato, importante para que eu possa movimentar a autoridade antes que o tema vire um problema?”. A leitura desses dois instrumentos (de passado e de futuro) é o que nos orienta na hora de eleger as prioridades da área de Fiscalização. Nesse momento, estamos consolidando os dados de 2022, para analisar se eles confirmam as tendências de 2021 ou se trazem algo novo, uma tendência nova.
E nesse processo, vocês já conseguiram identificar os setores mais relevantes para fiscalização?
Só vamos publicar o nosso primeiro relatório formal de atividades neste ano, com os dados de 2022, mas como já estávamos trabalhando desde a criação da ANPD, preparamos um proto-relatório, consolidando tudo que tínhamos visto até 2021, até porque precisávamos de um ponto de partida. Analisando o relatório, descobrimos que alguns setores demandam muita atenção, porque já eram objetos de constante insatisfação do titular de dados, em geral, setores cuja natureza envolve muita interação com o público, caso do setor de telecomunicações. Não me lembro de interagir frequentemente com o meu mecânico, mas vou interagir frequentemente com a minha operadora de telefonia ou com o meu banco. Na área de Telecomunicações são mais de 400 milhões de contratos. Uma só pessoa pode ter três, quatro contratos. Aliás, muitas reclamações estão relacionadas às ligações de telemarketing e acho importante mencionar que enxergamos uma incompreensão das pessoas, uma leitura incompleta do que significa o setor de telemarketing perante a questão da proteção de dados. Não estamos completamente desvinculados disso, só que é um problema que vai além da proteção de dados. A ANPD enxerga um pedaço desse iceberg, mas tem muito mais áreas que precisam estar envolvidas. Até porque o telemarketing não é um fim em si mesmo, ele atende a outros setores, como financeiro, varejo, saúde… É um problema multisetorial. Mas voltando ao ponto, mídias sociais e plataformas digitais também é um segmento com grande número de pessoas afetadas e que chamou a nossa atenção. Esses são os setores também com maiores reclamações perante o direito do consumidor e eles são os de interação intensa com pessoas. Além do setor público, o que também não é uma surpresa.
Por que?
O Estado brasileiro precisa ter precisão na sua atuação. Ele não pode confundir o Fabrício com o José. Ele precisa identificar essas pessoas corretamente para não misturar cadastros na hora de emitir documentações, para direcionar e executar políticas públicas. Até por obrigação legal, o Estado tem uma quantidade gigantesca de dados pessoais e por isso faz todo o sentido de que ele seja alvo de preocupação para a ANPD e também para os cidadãos.
Nos casos que vocês já tiveram oportunidade de analisar, as bases legais escolhidas estavam adequadas? Ou vocês têm visto muitos casos de escolhas equivocadas?
No caso do serviço público, o servidor normalmente consegue acertar, porque geralmente ele está fazendo uma execução de política pública, e para o servidor público isso é muito claro, existe um comando legal para ele fazer aquilo. Do ponto de vista do serviço público é raro encontrar casos nos quais o controlador de dados tenha errado a hipótese legal que justifique o tratamento. Mas não vou me surpreender, e não tenho me surpreendido de fato, ao me deparar com agentes de tratamento e controladores que tenham errado na escolha correta da base no caso da iniciativa privada. E porque não me espanta? Porque a LGPD vai fazer cinco anos, mas a ANPD ainda está criando musculatura para poder comunicar a sociedade qual a sua leitura da lei. Enquanto não fizermos isso, a sociedade não vai saber qual o modelo e a leitura certa e como se alinhar a lei de forma precisa. Daí que damos mais um viés de prevenção na nossa atuação, porque a sociedade ainda precisa aprender muito sobre proteção de dados para poder aplicar a lei corretamente. Agora, isso não quer dizer que não tenhamos profissionais do Brasil que possam auxiliar as empresas nesse caminho e, mais importante, que as empresas não tenham o dever de correr atrás disso.
E como esse viés de prevenção reverbera na atuação da autoridade?
Na sua atuação responsiva, a ANPD busca privilegiar quem pretende fazer as coisas corretas e deixar claro às empresas que ter errado na escolha da base, não não quer dizer que você está cometendo uma infração, desde que à partir do momento, você se predispõe a arrumar tudo e passar a fazer o correto a partir dali. Isso é porque nós somos bonzinhos? Não. A questão é muito pragmática. Quando a empresa tem a confiança em nos procurar, nós vamos fazer a análise dos processos deles, apontamos o que está errado e a empresa arruma. No instante seguinte em que ela arruma, o cidadão passa a ter direito ao pleno funcionamento dos seus direitos legais no que se refere ao tratamento de dados. Eu consigo corrigir a conduta errada de imediato, e fazendo isso, a empresa deixa de lesionar direitos. Isso para nós é o trabalho de um órgão regulador, fazer com que as empresas façam a coisa correta. É possível obter um benefício imediato para a sociedade com uma única reunião. É um resultado ótimo para o cidadão, a um custo muito baixo para o cidadão, o controlador de dados e à própria ANPD, que também custa para existir. Quanto mais rápido resolvemos, menos a autoridade custa à sociedade para resolver o problema dela. Temos o dever de ser eficazes na nossa atuação para o cidadão. E quando a empresa percebe que tendo dúvidas sobre a sua conduta, ela pode nos procurar e resolver o problema de uma vez, fica menos custoso, também para ela, nos procurar.
Mas ao não sancionar as empresas por seus erros, não se corre um risco de anular o poder dissuasório da lei?
Corre, mas não somos ingênuos e nem achamos que todo mundo é santo. Nós demos uma chance. Se você não atender aos nossos apontamentos e eu romper a negociação com a empresa, as multas serão agravadas e as sanções virão mais pesadas, porque você abusou da boa fé da ANPD. Esse é um fundamento da teoria da regulação responsiva. Quanto mais me afasto da ação do momento, maior ela tem que ser, para que eu continue enxergando ela de longe.
Já existem parâmetros de prazos para as empresas responderem ao que a ANPD coloca para correção nesses casos?
Ainda estamos construindo nossos processos internos, então não tenho prazo padrão e não devo ter, porque pode ser que ele não me sirva. São riscos que variam, vai depender muito da complexidade do caso.
Mas vocês têm parâmetros sobre o tempo para casos simples, ou para casos complexos, por exemplo?
A ideia é que cheguemos nesses parâmetros. Temos uma preocupação muito republicana de não sermos casuísticos e para isso é preciso ter padrões que garantam isonomia na nossa atuação. Não posso correr o risco de parecer que estou privilegiando alguém em detrimento de outros. É lógico que os pioneiros vão ter o ônus e o bônus do pioneirismo. Pode ser que em algum momento eu estabeleça um prazo e veja que ele não faça sentido, mas vamos experimentando e com a experiência estipulando uma espécie de rotina sobre quais prazos vão fazendo sentido para cada providência.
Como vocês fazem o acompanhamento disso? Quem os procurou e tentou enrolar a autoridade, como vocês pretendem reverter a situação lá na frente?
A regulação é um jogo de múltiplas rodadas. Você pode tentar me enganar agora, mas isso não dura. A maior parte dos incidentes acontecem na internet e a internet não tem compromisso com ninguém. Se a controladora mentiu para nós, a sujeira vem à tona e isso não demora. Não é uma questão de fé do Fabrício. Isso nos foi dito por outros reguladores, com quase 50 anos de atuação nesse modelo.
E vocês já tiveram algum caso nos quais a ANPD foi atrás da controladora ?
Hoje, temos mais processos nos quais nós fomos atrás. Tivemos dois ou três processos nos quais fomos procurados e todos os outros nós fomos atrás, e justamente pelo motivo que coloquei no início da entrevista, de buscarmos manter uma sintonia com a realidade do cidadão. Aí conseguimos enxergar que um determinado caso pode ter uma repercussão setorial, pode envolver um grande número de pessoas, o que justificava a nossa escolha de um caso, pela relevância dele fazermos um processo de investigação específico.
Nesses casos que vocês foram atrás, imagino que a primeira abordagem de vocês seja leniente, no sentido de dar à empresa uma primeira oportunidade de corrigir a situação. Mas vocês se depararam com algum caso no qual o dolo era muito claro?
Encontramos situações que pareciam bem numa fronteira. Não dava para cravar claramente se era desconhecimento ou algo temerário. E aí nós somos bem incisivos: arrume isso aqui agora e sem discussão. E as empresas não têm discutido, elas simplesmente tem arrumado. Chegamos a encontrar controladores que não responderam quando a gente deu os estímulos: ‘você deve fazer isso…” E a empresa não fez. Aí abrimos os processos sancionadores. Hoje temos oito processos sancionadores nos quais partimos para uma abordagem mais repressiva porque as empresas não responderam no timing adequado ou com a qualidade que a gente esperava. (N.E.: a relação de processos foi tornada pública no último dia 23 de março. Estão na lista o Ministério da Saúde (dois processos), o Instituto de Pesquisas Jardim Botânico do Rio de Janeiro, a Secretaria de Educação do Distrito Federal, Secretaria de Estado da Saúde de Santa Catarina, Instituto de Assistência ao Servidor Público Estadual de São Paulo – IAMSPE, a Secretaria de Desenvolvimento Social, Criança e Juventude-PE, todas do setor público, além da Telekall, do setor privado).
A ideia do processo sancionador é não deixar o caso sem corrigir a realidade. Mas isso eu conseguiria sem o processo sancionador, que é mais caro para todo mundo porque entra numa situação de contencioso, de disputa, de estabelecimento de provas e isso é muito mais difícil do que obter os mesmos resultados numa negociação. Por isso deixamos essa ferramenta para situações extremas, nas quais a empresa não cooperou. E aí a ideia é fazer ela se arrepender de não ter cooperado no momento adequado. A ideia da sanção é justamente essa, é pedagógica.
É importante para vocês estabelecerem alguns casos com sanções emblemáticas, do ponto de vista pedagógico? Porque os casos de reparação não têm o mesmo impacto público que os casos de sanção costumam ter.
De fato isso é algo que precisamos aprimorar na nossa comunicação. Precisamos contar o que estamos fazendo aqui. Já estamos fazendo bastante coisa, com muitos impactos para os cidadãos sem ter ninguém sancionado. A sanção tem esse efeito multiplicador do resultado. Mas, sinceramente, acredito que consigo o mesmo efeito publicando uma nota técnica para divulgar a leitura da ANPD sobre o tratamento de dados pessoais para fins de divulgação de pesquisa; ou sobre a nossa interpretação para fins de tratamento de dados pessoais de pessoas falecidas. A sociedade vai ler isso para poder aprender. Acho bem possível que isso tenha efeitos mais positivos, para efeitos de Compliance, do que dizer o que não deve ser feito. E a lógica da sanção é a de dizer que o que não deve ser feito.
Mas a lei fala em publicizar a infração. Isso pode ter um impacto de multiplicação semelhante ao das sanções?
Esse aspecto é uma peculiaridade na nossa lei, a publicização da infração já é uma sanção em si. E sanções não devem ser impostas de maneira leviana. Tenho minhas dúvidas se a publicização é algo que eu poderei fazer “a torto e a direito”, em qualquer situação, sempre. Tem uma sutileza no que se refere a divulgação e eventualmente em relação ao seu efeito. Não faz muito sentido, na minha leitura de área de Fiscalização, bater bumbo toda vez que sancionar alguém. Acho que não é produtivo. O que não quer dizer que a ANPD não responda, ou não torne isso disponível. Claro que em alguns casos tem o valor público de divulgar condenações, especialmente quando a empresa tentou se furtar da sua responsabilidade.
Atualmente, qual a capacidade de enforcement da ANPD? Qual a estrutura da autoridade?
A ANPD tem um condicionante: precisamos instituí-la, montá-la e colocá-la em operação sem gerar aumento de despesa. É como montar uma empresa sem contratar ninguém. Esse desafio podia fazer sentido no momento de crise econômica em que a ANPD foi criada, em 2018. Mas a ideia de proteção de dados, ela é de fato um valor para a sociedade, é um direito constitucional e cláusula pétrea. Se é um valor constitucional para nós, é preciso entender que a ANPD́ precisa de uma estrutura própria e crescer. Se tivesse que fazer um paralelo, outras agências reguladoras atendem setores: petróleo, energia, saúde suplementar… E costumam ter entre 1000 e 3000 servidores para tratar só daqueles setores. Todos esses setores, mais todos os outros setores da economia são objeto de fiscalização da ANPD. Fazer esse trabalho com 100 pessoas não me parece adequado, precisamos de mais pessoas para fazer isso. Temos muita vontade de crescer, temos uma visão de futuro e precisamos nos organizar como autoridade. O ICO (equivalente à ANPD na Inglaterra) tem quase 1000 funcionários para cuidar de bem menos gente. Nós temos 220 milhões de observações, que é como nos referimos no setor, cada pessoa é uma observação. Quantos mais precisaríamos ter para dar conta do nosso trabalho? Hoje pleiteamos a possibilidade de realizar um concurso público para trazer mais pessoas para cá, ganharmos massa crítica e até para estruturar uma carreira a partir daí. Mas isso está muito além do meu DAS (risos).
Já existe uma expectativa em relação aos prazos para a análise e o julgamento dos processos administrativos já abertos pela ANPD?
Hoje, temos esses oito processos e agora que a norma (a dosimetria) está pronta e já recebemos a defesa prévia das empresas. Agora vamos fazer as análises. Tem todo um trâmite de pedir mais diligências, solicitar mais informações para empresas, se existir outro regulador envolvido também é necessário pedir informações a eles, alegações finais. É possível que os casos menos complexos sejam divulgados no primeiro semestre. Apesar da ansiedade que a sociedade tem – e ela não está errada em esperar as primeiras sanções -, nós temos tido uma compreensão muito boa da parte do conselho diretor, de não apressarmos o nosso trabalho, até porque estamos preocupados em fazer um trabalho sólido para não sermos questionados no judiciário no futuro.
Você falou de ansiedade. Podemos acreditar que em quatro, cinco anos vamos ter uma esteira contínua de casos processados pela ANPD?
Sim. vou te dizer porque. Quando vamos sancionar alguém, o ônus de provar a culpa é nosso. E ainda bem. Imagina o Estado podendo sancionar alguém sem precisar provar nada. Precisamos montar o caso, levantar as informações, investigar e nem todo mundo coopera para ser culpado. Temos de montar o caso de forma que ele seja incontestável do ponto de vista processual. Pode levar três anos para montarmos um caso direito, com sobriedade, para sobreviver inclusive a um questionamento judicial ali na frente.
Quando você coloca que é papel da ANPD estabelecer o ônus da culpa, posso entender que a LGPD não impõe a responsabilidade objetiva às empresas?
Devagar que não é bem assim. Do ponto de vista da obrigação regulatória para o cumprimento da lei, e essa é uma visão minha, da Fiscalização, não é uma posição confirmada pelo conselho diretor da ANPD que é o único órgão que pode interpretar a lei – e alguém pode, inclusive, entrar com um recurso contra uma posição da Fiscalização e o conselho diretor pode vir a reformar essa posição ali na frente -, é que para fins de atender a lei a responsabilidade é objetiva, quem não cumpriu você vai ser sancionado. Não importa para a Fiscalização se você queria ou não cumprir a lei. E isso não é nenhuma novidade no cenário de um regulador.
Mas existe uma outra questão, que é a responsabilização da qual trata o Artigo 42, da responsabilidade do controlador em relação ao titular de dados. E de fato, esse artigo não poderia ser mais desafiador na sua leitura. Ali, hora me parece que a responsabilidade é objetiva, hora me parece que é subjetiva. Confesso que em relação a esse aspecto em particular, ainda não formei juízo, embora me pareça que este é um artigo voltado para o processo de julgamento na esfera do Poder Judiciário. Quem vai verificar a ideia da responsabilidade do dano e da indenização por violação da LGPD na esfera individual, isso é fruto de uma ação do cidadão junto ao Judiciário. A ANPD vai tratar da parte administrativa da sanção.
Ainda nessa questão da responsabilidade objetiva regulatória, em um caso no qual a empresa sofreu um ataque, ela foi vítima de alguma forma, mas ela é a controladora daqueles dados pessoais. Ainda assim, a responsabilidade é objetiva?
Do ponto de vista de risco, ao optar por tratar dados pessoais, a empresa acolhe esse risco junto com ela. E esse é um dos fundamentos para dizer que existe a responsabilidade objetiva. Você aceitou o risco que existe naquela atividade e se acontecer alguma coisa, você vai responder por isso. Por outro lado, me parece razoável outro raciocínio. Uma empresa que está no “estado da arte” de proteção e segurança de informação, mas que vai sofrer um incidente de segurança, porque você também pode ter do lado de quem tenta violar o sistema, “o estado da arte”. Uma hora a empresa ganha, mas uma hora o ladrão ganha também. Essa disputa é constante. Não é razoável esperar que uma empresa esteja preparada para o que não existia até ali. Não me parece razoável sancioná-la só por isso, porque ela fez tudo o que se esperava e era possível fazer até o momento no que se refere aquela atividade. Isso não quer dizer que ela não tenha que responder perante o cidadão lá na frente; mas, perante a ANPD, posso entender que ela fez o esperado dela e não vou sancioná-la por esse caso. O que não quer dizer que ela não tenha que tomar algumas medidas. Um vazamento que tenha colocado as pessoas em risco, ela tem que atuar para minimizar esse risco. Vou dar um exemplo bem absurdo, para não cair em um caso concreto: uma empresa que tenha uma lista de testemunha em processos criminais e essas pessoas façam parte de um programa de proteção a testemunhas. E essa empresa tem os seus dados vazados. Essas pessoas estão correndo risco de vida. Faz sentido cobrar que essas empresas arque com os custos da recolocação dessas pessoas. Eu não vou sancionar a empresa pela violação, porque ela fez tudo o que era possível para proteger os dados, mas ela tem que arcar com as despesas de realocação dessas pessoas, com os riscos que ela assumiu ao guardar e tratar esses dados. O fato dela não ser culpada não significa que ela tenha que ser isenta de arcar com as consequências frente aos titulares. Não é punição, é reparação. Você está restaurando a ordem no momento anterior ao incidente. É arcar com a sua responsabilidade.
Posso entender então, que nesse aspecto, vocês vão olhar para cada caso, mas ao contrário da Lei Anticorrupção, a aplicação da multa (ainda que seja necessário reparar o problema) não é algo obrigatório numa situação de violação à LGPD ?
A multa não é obrigatória é essa é uma leitura da Fiscalização, eventualmente o conselho diretor pode vir a pensar de forma diferente. Porque pensamos assim? O propósito da ANPD receber um comunicado de incidente de segurança não é sancionar a empresa. A proposta é garantir que a empresa vai tratar o incidente de maneira correta e vai tomar todas as medidas necessárias para proteger os cidadãos. Se todo mundo que me avisa tomar uma multa, as empresas não vão querer me comunicar mais. A lógica é premiar quem se preparou e fazer com que as empresas se sintam seguras em vir até nós, justamente porque elas se prepararam para isso. Mais importante do que sair multando é verificar se o cidadão está sendo protegido. O fato de haver um incidente não quer dizer que haverá sanção, quer dizer que nós vamos acompanhar e buscar que ela faça todo o necessário e razoável para proteger o cidadão. E nós vamos cobrar que ele resolva o problema.
E vocês têm conseguido atingir esse objetivo?
Já conseguimos fazer com que várias empresas mudassem sua conduta, ou seja, já tivemos resultados imediatos sem precisar de processo sancionador. E porque eu comemoro isso? Em um processo sancionador, eu preciso abrir o processo para o contraditório, estipular o valor da multa, submeter ao conselho diretor, que vai analisar o caso antes de concordar com a multa, aí a empresa vai questionar o caso e a multa no Judiciário e, depois de alguns anos, o Judiciário concorda comigo. Olha quanto tempo passou para obter o resultado. Para mim é muito mais valorosa a resposta imediata ao consumidor. Por isso que digo que a dosimetria é apenas mais uma ferramenta dentre todas as outras que nós temos. E provavelmente, é a menos efetiva para trazer uma solução para os titulares de dados. É a que vai causar mais dor ao regulado, com certeza, mas também é a que vai demorar para trazer resultado efetivo para a população do ponto de vista de resultado material, de alteração de conduta e correção. Enquanto estiver em disputa no tribunal a empresa não vai mudar sua conduta, para não assumir culpa e nem confessar que estava errado.
