Novo Regulamento da Lei Geral de Proteção de Dados e o procedimento relativo à comunicação de violação de dados
Novo Regulamento da Lei Geral de Proteção de Dados e o procedimento relativo à comunicação de violação de dados
O recém-publicado Regulamento da LGPD já será aplicável a partir de janeiro de 2022.
Entrou em vigor o Regulamento, a Resolução CD-ANPD número 1 de 28 de outubro de 2021, relativo aos procedimentos de fiscalização e sanções no âmbito da Autoridade Nacional de Proteção de Dados publicado no último dia 29.10 com o objetivo de orientar, prevenir e reprimir infrações à Lei nº 13.709, de 14 de agosto de 2018 (Lei Geral de Proteção de Dados Pessoais – LGPD).
A fiscalização compreenderá o monitoramento (levantamento de informações e dados para a tomada de decisão da ANPD), orientação (conscientizar os agentes de tratamento e titulares dos dados pessoais), prevenção (soluções e medidas para evitar ou remediar situações de risco, ou dano, aos titulares de dados pessoais e aos agentes de tratamento).
Esse primeiro ciclo de monitoramento está previsto no Regulamento terá início já a partir de janeiro de 2022.
A sanção caracteriza-se pela atuação coercitiva da ANPD, voltada à interrupção de situações de dano ou risco, à recondução à plena conformidade e à punição dos responsáveis mediante a aplicação das sanções previstas no artigo 52 da LGPD, por meio de processo administrativo sancionador.
É importante notarmos que como regra geral a ideia é a de que o procedimento sancionador sempre seja precedido de medidas de orientação e prevenção, bem como precedido por um procedimento de fiscalização, que terá a sua fase instrutória, isto é, com provas a serem produzidas e até realização de diligências, mas o Regulamento ressalva que, dependendo da gravidade e natureza da infração, dos direitos pessoais afetados, da reincidência, do grau de dano, a Coordenação-Geral de Fiscalização poderá instaurar processo administrativo sancionador de imediato, independentemente de procedimento preparatório ou da adoção de medidas de orientação e prevenção, cabendo, ao interessado apresentar à Coordenação-Geral de Fiscalização sua proposta de celebração de termo de ajustamento de conduta, o qual, uma vez cumprido, terá o condão de arquivar o processo administrativo sancionador.
Também devemos prestar muita atenção, pois, segundo o Regulamento não caberá recurso administrativo contra o despacho de instauração do processo administrativo sancionador.
Em nossa opinião, essa previsão de não haver recurso administrativo contra a instauração do procedimento administrativo, não exclui que haja a apreciação da questão pelo o Poder Judiciário, porque, caso não tenham sido obedecidos os princípios da legalidade, finalidade, motivação, razoabilidade, proporcionalidade, moralidade, ampla defesa, contraditório, segurança jurídica, interesse público e eficiência, aliás princípios estes previstos no próprio artigo 39, da Resolução.
O Regulamento prevê que se efetue a comunicação da violação de dados à ANPD por denúncia de qualquer pessoa, ou mediante petição do titular dos dados violados.
Assim, qualquer pessoa, natural ou jurídica, poderá denunciar à ANPD uma suposta infração cometida contra a nossa LGPD, ou mesmo o próprio titular de dados pessoais violados pode apresentar uma petição à ANPD, desde que comprove ter antes solicitado ao controlador de dados que cesse a violação (o que é previsto na LGPD em seu artigo 55-J inciso V) e, uma vez identificados indícios suficientes da infração legal, será instaurado um processo administrativo que se iniciará por um auto de infração, no qual deverão ser garantidos o contraditório e a ampla defesa, uma vez que o autuado poderá juntar as provas que julgar necessárias à sua defesa.
Dentre as provas possíveis, está a prova pericial e o perito poderá ser autoridade ou servidor da ANPD, especificamente designado para este fim pelo Conselho Diretor, ou outra pessoa de qualquer órgão público, ou até por profissional objeto de Termo de Cooperação previamente celebrado, ou, ainda, por profissional especialmente contratado para tal fim, sendo possível ao interessado a indicação de assistente técnico.
O auto de infração deverá conter a identificação do infrator, e a suposta conduta ilícita, com indicação dos fatos a serem apurados e o dispositivo legal ou regulamentar respectivo, intimando-se o agente de tratamento para defesa em até 10 dias úteis, ou outra forma indicada na intimação.
O Regulamento ainda faz menção a uma série de deveres dos agentes envolvidos no tratamento de dados em relação ao procedimento fiscalizatório da ANPD, os quais, se não cumpridos caracterizará obstrução à fiscalização e acarretará medidas repressivas.
Dentre esses deveres se destacam desde 1) fornecer cópias de documentos ainda que sigilosos, sendo que os documentos digitalizados deverão cumprir o Decreto 10.278 de 2020, bem como 2) fornecer informações relevantes, ainda sigilosas, até mesmo 3) permissão de acesso aos sistemas, a ferramentas e recursos tecnológicos utilizados nas atividades de tratamento de dados pessoais, quer estejam em poder do controlador quer estejam em poder de terceiros por ele autorizados, chegando a ser prevista também a 4) submissão à auditoria a ser determinada pela Autoridade Nacional de Proteção de Dados. É claro que sendo o documento, ou a informação, sigilosos, o Regulamento determina que o regulado pode solicitar que isso permaneça em sigilo, fazendo com que terceiros interessados não possam ter acesso ao conteúdo.
Todos os atos administrativos de fiscalização e de sanção serão comunicados aos regulados mediante intimação, preferencialmente em meio eletrônico, cujos prazos começam a correr a partir da ciência oficial e são contados em dias úteis, excluído o dia do começo e incluído o dia de vencimento, e na comunicação deverá várias informações como a identificação do intimado, a finalidade da intimação, se o intimado tem que comparecer pessoalmente ou se pode ser representado, se deve apresentar defesa, ou cumprir alguma diligência, que o processo correrá independentemente do seu comparecimento, bem como a data, hora e local ou prazo para a providência, se houver, devendo ainda serem indicados os fatos e fundamentos legais pertinentes.
Considera-se que o agente regulado tomou ciência da intimação da comunicação nas seguintes datas:
a) por meio eletrônico, na data em que o usuário realizar a consulta ao documento correspondente ou, caso não realizada a consulta, dez dias úteis após o envio da intimação;
b) por via postal, na data de recebimento do Aviso de Recebimento (AR) ou documento equivalente;
c) pessoalmente, na data da ciência do intimado, seu representante, preposto ou, no caso de recusa de ciência, na data declarada pelo servidor que efetuar a intimação;
d) quando a parte comparecer, pessoalmente ou devidamente representada, para tomar ciência do processo ou justificar sua omissão, a partir desse momento;
e) edital, na data de sua publicação;
f) por outro meio, que assegure a certeza da ciência do interessado; e
g) por mecanismos de cooperação internacional, na forma estabelecida no Decreto nº 9.734, de 20 de março de 2019 ou norma que lhe suceder.
Como se vê, uma empresa estrangeira poderá também ser intimada por mecanismos de cooperação internacional, para fins dos procedimentos de fiscalização e sanção, desde que ela tenha coletado dados no Brasil, ou caso ela operando o tratamento de dados no Brasil, ou mesmo se a atividade de tratamento de dados tenha por objetivo a oferta ou o fornecimento de bens ou serviços no Brasil.
O procedimento administrativo fiscalizatório e sancionatório da ANPD conta também com a possibilidade de haver “interessados”, os quais poderão participar do mesmo, desde que haja relevância da matéria, especificidade do tema, ou repercussão social da controvérsia.
Terão a qualidade de interessados, tanto as pessoas cujos direitos possam ser afetados pela decisão, como também as organizações e as associações de direitos difusos e coletivos, incluindo-se as instituições acadêmicas, sendo certo que os terceiros interessados somente possuirão acesso aos documentos e peças processuais públicas, isto é, não terão acesso ao que é sigiloso dentro do procedimento.
O procedimento administrativo ainda contará com a possibilidade de alegações finais a ser feita em 10 dias úteis antes da elaboração do Relatório de instrução no caso de serem produzidas novas provas entre a defesa e a instrução do procedimento.
Como regra, da decisão proferida no procedimento administrativo cabe recurso, a ser protocolizado no prazo indicado na intimação, e os terceiros interessados podem interpor recurso em 10 dias úteis da notificação.
Está previsto no Regulamento que o recurso administrativo terá efeito suspensivo limitado à matéria contestada da decisão, salvo se houver fundado receio de prejuízo de difícil ou incerta reparação decorrente da execução da decisão recorrida.
Será possível que a Coordenação-Geral da Fiscalização reconsidere parcial ou totalmente a sua decisão de forma fundamentada, desde que recebido o recurso administrativo, que será considerada como nova decisão, devendo o autuado ser novamente intimado.
De qualquer forma, essa reconsideração da decisão pela Coordenação-Geral da Fiscalização não poderá agravar a sanção originalmente aplicada, mas, por outro lado, se ela resultar em a não aplicação de sanção, isto passará pelo reexame necessário do Conselho Diretor.
Aliás, o próximo passo do recurso administrativo, depois de passar pela Coordenação-Geral da Fiscalização sempre será o reexame pelo Conselho Diretor.
O Conselho Diretor pode julgar se valendo da Assessoria Jurídica ou de outros órgãos da ANPD, e a decisão será feita pelo Diretor Relator, o qual admite, ou não o recurso, dá provimento total ou parcial, fundamentando o seu voto, no que é seguido, ou não pelos demais Diretores.
Essa decisão do Conselho Diretor, ao contrário da decisão proferida pela Coordenação-Geral da Fiscalização, pode ser mais gravosa ao recorrente, e por isso este terá a chance de ser intimado e formular novas alegações em recurso no prazo de 10 dias, antes da decisão final.
Após a decisão final, é a Coordenação-Geral da Fiscalização que fica incumbida de tomar providência para que ela seja cumprida.
Existe a previsão da aplicação de sanção pecuniária, e se ela não for paga até a data do vencimento, o devedor será intimado sobre a existência do débito, podendo haver inclusive inscrição no Cadastro Informativo de Créditos não Quitados do Setor Público Federal (Cadin), no prazo de setenta e cinco dias contados dessa intimação, bem como o encaminhamento do débito para inscrição na Dívida Ativa da União e, posterior encaminhamento ao órgão da Advocacia-Geral da União.
Por fim, é relevante mencionar que a todo processo administrativo que resulte em sanção é possível um pedido de revisão (que não admitirá reformatio in pejus – reforma para piorar a situação), a qualquer tempo, sempre que surgirem fatos novos ou circunstâncias tais que sejam importantes para justificar que a sanção aplicada foi inadequada, inclusive com suspensão dos efeitos da sanção aplicada por decisão administrativa transitada em julgado, especialmente suspendendo-se as medidas que visem à constituição, cobrança e execução do crédito não tributário decorrente da aplicação de sanção de multa.
Líbia Cristiane Corrêa de Andrade e Florio
Advogada nas áreas empresarial e tributária em São Paulo.