Publicações
ANPD em 2022: saiba como evitar sanções e se adequar à LGPD
Um órgão regulador criado por lei tem a responsabilidade de definir as diretrizes de aplicação, regulação de hipóteses específicas que foram tratadas genericamente pela lei, e fiscalizar o seu cumprimento. Historicamente, o Brasil possui alguns exemplos que foram cruciais para a criação de uma nova cultura no país, como a Agência Nacional de Saúde Suplementar (ANS), que graças à sua atuação garante o cumprimento das leis sobre o tema, fiscalizando e autuando empresas que violam as regras que protegem o consumidor desse serviço. A mesma relevância tem se aplicado à Autoridade Nacional de Proteção de Dados Pessoais (APND).
Criada com o objetivo de regular, nos limites estabelecidos pela lei, os pontos em aberto, e de fiscalizar o tema que lhe confere o título, a ANPD também realiza diversas outras funções, como elaborar estudos, estimular a adoção de padrões técnicos, promover ações de cooperação com outras autoridades, apreciar petições e aplicar sanções. Outro aspecto da sua importância é a capacidade de zelar pela efetividade da Lei Geral de Proteção de Dados (LGPD), que trata de um assunto relativamente recente, complexo e relevante para a garantia do direito fundamental à privacidade.
Ou seja, desde a sua criação em 2020, o órgão regulador atua para promover a construção e o fortalecimento da cultura de proteção de dados pessoais no Brasil. O ano de 2021 foi de desenvolvimento da sua agenda regulatória para os próximos anos. Em 2022, essa finalidade permanece, mas com a chegada de uma nova fase. Já estão sendo enfrentados temas relacionados a forma de aplicação da lei, como se deu para microempresas e profissionais liberais (chamados de agente de tratamento de pequeno porte), por meio da resolução nº 2/22, de 27/1/2022, que confirmou a obrigatoriedade da lei para referidas, com algumas opções da forma de adequação a ser seguida pelo empresário. Outros pontos relevantes estão por vir, como as questões pertinentes aos direitos dos titulares, a regulação do Encarregado de Proteção de Dados (DPO), que neste momento está com audiência pública aberta para coleta de subsídios, além das hipóteses de aplicação das bases legais e, principalmente, aplicação das primeiras sanções. Esse último aspecto da agenda vem como uma mensagem clara sobre a força e capacidade operacional da ANPD. Com isso, muitas empresas, pressionadas pela possibilidade de sofrer alguma sanção, devem correr atrás do prejuízo e iniciar a busca pela conformidade.
Antes de adentrar propriamente o universo das sanções, é importante frisar que as mudanças no mercado corporativo no que se refere a proteger dados não estão relacionadas apenas com a atuação do órgão. As companhias que buscaram se adequar desde o início da vigência da LGPD — também em 2020 — apenas se relacionam com parceiros comerciais que estão no mesmo nível de conformidade que elas, pois para preservar a reputação dos negócios, criar um ambiente organizacional seguro e garantir a continuidade da sua conformidade, é uma condição inegociável se afastar e suspender contratos de empresas em não conformidade, pois a LGPD considerará que no caso da manutenção desse negócio a empresa assumiu as vulnerabilidades do parceiro não aderente à lei.
Em relação às punições, hoje a ANPD pode aplicar: sanções administrativas, como advertências; multas equivalentes a 2% do faturamento, limitada a cinquenta milhões de reais, aplicável independentemente da ocorrência de um incidente de segurança, mas pelo simples fato de uma vez fiscalizada a empresa não conseguir comprovar sua conformidade; multas diárias; publicização da infração e da insegurança — visando educar e impactar a reputação das empresas que descumprem a regulação; bloqueio por determinado período ou eliminação dos dados pessoais referentes à infração dos dados; suspensão parcial do funcionamento do banco de dados; suspensão do exercício da atividade de tratamento de dados pessoais; e proibição parcial ou total do exercício de atividades relacionadas ao tratamento de dados. Todas elas estão descritas no artigo 52 da lei.
Por outro lado, há a expectativa de que a autoridade também leve em consideração o atual momento regulatório do país e a realidade fática e operacional das empresas, dosando a aplicação das sanções e dando a oportunidade de melhoria e correção de procedimentos, mas isso obviamente somente se aplicará àquelas que estão em efetivo processo de desenvolvimento da sua conformidade e não para aquelas que nada fizeram. No entanto, é evidente que não há mais tempo ou justificativa para se esquivar do cumprimento da LGPD, especialmente após a nova resolução para os agentes de tratamento de pequeno porte, ressaltada acima, que reafirmou a seriedade e obrigatoriedade do seu cumprimento.
De fato, a lei veio para mudar a forma pela qual os dados são utilizados, o que exige uma mudança de cultura por parte das organizações. A partir desse ano as empresas não poderão simplesmente reproduzir seus processos internos até então desenvolvidos. Para gerar a conformidade à lei, as diretorias, conselhos, e gestores terão que usar a criatividade e inovar, tratando a privacidade das informações de consumidores e colaboradores de forma preventiva. É mais do que uma obrigação, é uma excelente oportunidade de profissionalização, revisitação de processos, aperfeiçoamento do modelo de negócio e de reinvenção para as corporações que permitirá sobreviver com maior eficiência no mundo globalizado e digitalizado. Não há atalhos. Assim, para evitar uma ação fiscalizatória e penalidades da ANPD, recorrer aos serviços de profissionais ou empresas especializadas no assunto torna-se uma atitude ainda mais relevante em 2022, que promete ser marcado pelo aumento da rigidez para aquelas organizações que não tratam o tema com a seriedade devida.
Para muito além das multas o foco deve ser o ganho reputacional que o processo de conformidade gera, especialmente perante um novo modelo de consumidor, nativo digital, com acesso à informação e mais exigente com questões pertinentes ao consumo sustentável, responsabilidade social, cumprimento de demandas regulatórias, e que são tendências do mercado como se verifica no tratamento das questões relacionadas ESG e até mesmo nas pautas da Agenda ONU 2030. A conformidade à LGPD trará esse ganho para a organização.
Nesse sentido, o DPO é um ponto central para orientar e conduzir a empresa rumo à conformidade com a LGPD. Por meio da atuação de um Encarregado de Proteção de Dados capacitado e multidisciplinar é possível otimizar o processo de adequação à lei e potencializar a efetividade dos procedimentos implementados internamente na companhia. Este também tem a função de treinar as equipes de trabalho, que é uma das fases que mais requer atenção para a construção de uma cultura organizacional pautada na privacidade e proteção dos dados pessoais, e a qual o mundo corporativo não pode mais abrir mão de ter.