Após especulação da comunidade jurídica em relação à Autoridade Nacional de Proteção de Dados (ANPD), foi publicada no Diário Oficial da União [1] a primeira sanção administrativa aplicada pela Coordenação-Geral de Fiscalização (CGF), subórgão responsável pela fiscalização e sanção (artigo 17, inciso I, da Portaria nº 1 CD de 8 de março de 2021). A penalidade consistiu em multa simples e advertência em relação à microempresa Telekall Inforservice pela infração dos artigos 7º e 41 da Lei Geral de Proteção de Dados (LGPD) e do artigo 5º do Regulamento de Fiscalização da ANPD.
Como exposto em outra oportunidade [2], as competências destinadas à ANPD podem ser classificadas em normativa, regulatória, fiscalizatória e sancionatória. Acredito que já houve o spoiler de que nos ateremos às duas últimas.
Os procedimentos de fiscalização e sanção ocorrem após tramitação de processo fiscalizatório e/ou administrativo sancionador, em que incidem regras e princípios da Lei 9.84/1999 e normas da Constituição. Caso seja constatada alguma infração, caberá à CGF aplicar as sanções previstas no artigo 52 da LGPD.
Algumas questões, entretanto, chamam a atenção.
A primeira diz respeito às listas de processos fiscalizatórios [3] e sancionadores [4] publicadas no site da ANPD, cujo conteúdo segue em sigilo sob a justificativa de que "[…] possuem documentos preparatórios" ”[5]. Não se pode ignorar que este fato constitui omissão de importante fonte de "transparência e permeabilidade" que permite à sociedade "contribuir para o aprimoramento da atuação da ANPD" [6], conforme dispõe seu próprio Relatório de Análise de Impacto Regulatório (Rair).
Outro questionamento trazido à tona por Fabrício da Mota Alves [7] foi o motivo pelo qual a sanção de advertência foi aplicada, já que a Resolução CD/ANPD nº 2 de 27 de janeiro de 2022, destinada à aplicação da LGPD a agentes de pequeno porte, não prevê a necessidade de haver encarregado pelo tratamento de dados pessoais em microempresas, como é o caso da Telekall Inforservice [8]. Porém, como o processo segue em sigilo, não se sabe ainda o que levou a entidade a aplicar tal penalidade.
Por isso, há dois pontos que pretendo abordar: (1) a publicidade dos processos administrativos sancionadores e (2) a modalidade de regulação adotada pela ANPD.
Vamos à primeira. De acordo com a ANPD, a justificativa conferida para que os processos permaneçam em sigilo é que há documentos preparatórios. Ademais, sabe-se que há documentos relativos às partes envolvidas, como concernentes a segredo industrial ou a dados sigilosos, que evidentemente podem fazer parte do processo. Entretanto, é preciso ter cautela.
Embora não seja agência reguladora [9], não se pode negar que o legislador destinou à ANPD algumas competências destinadas àquelas entidades. Tanto é que a primeira tentativa de instaurar a ANPD a vinculava à Lei 9.986/2000, que dispõe sobre a gestão de recursos humanos das agências reguladoras. E por que isso é importante?
Em 25.02.2022, o colegiado do Supremo Tribunal Federal (STF) [10], por unanimidade, seguiu voto do ministro Barroso, relator da Ação Direta de Inconstitucionalidade (ADI) 5.371, que declarou inconstitucional o art. 78-B da Lei 10.233/2001, que conferia sigilo a processos administrativos sancionadores das Agências Nacional de Transporte Terrestres (ANTT) e de Transportes Aquaviários (Antaq).
O ministro Barroso [11] esclareceu que o conteúdo de tais processos é de interesse da população, e, portanto, a regra não pode ser a restrição, devendo-se observar o princípio da publicidade. O sigilo apenas pode ser decretado quando: (1) for imprescindível à segurança do Estado e da sociedade e (2) para a proteção da intimidade, vida privada, à honra e à imagem. Tais exceções constam na Lei 12.527/2011, a Lei de Acesso à Informação.
É esta a questão que se deseja abordar. O caput do artigo 37 da Constituição prevê o princípio da publicidade e a Lei 9.784/1999 estabelece a observância do interesse público, garantias que se aplicam aos processos administrativos sancionadores em trâmite perante a ANPD.
Por mais que haja documentos cujo sigilo deva se resguardar, há partes (como a portaria que instaurou o processo, as decisões que motivaram a aplicação da sanção, bem como peças das partes) que deveriam estar disponíveis, haja vista versarem sobre direitos fundamentais positivados, mais precisamente no inciso LXXIX do artigo 5º de nosso texto constitucional: a proteção de dados pessoais.
O segundo ponto que merece destaque diz respeito ao modelo regulatório adotado pela ANPD, que tem intrínseca relação com as competências fiscalizatória e sancionatória.
Em seu primeiro Rair [12], a ANPD esclareceu que, em substituição ao modelo de comando e controle, usualmente adotado por agências reguladoras, aderiu à modalidade de regulação responsiva, que consiste na adoção de medidas orientativas e preventivas que, caso descumpridas, podem levar à aplicação de sanções.
A própria entidade aduz que essa modalidade foi escolhida tendo em vista que as multas aplicadas por agências reguladoras não tinham efetividade, pois, além de não restarem quitadas, não traziam alteração no comportamento dos agentes regulados.
A postura da entidade é a mesma adotada por autoridades de proteção de dados europeias. O pesquisador Philip Schütz [13] demonstrou que o modelo de comando e controle muitas vezes não se mostrava eficiente, apesar da aplicação de multas de valor exacerbado devido à gravidade de determinadas infrações.
Obviamente, deve-se levar em consideração o fato de que as competências da ANPD entraram em vigor apenas recentemente (principalmente as sancionatórias [14]) bem como os percalços que a entidade enfrenta. Porém, é necessário questionar se o modelo de regulação responsiva é o mais adequado, tendo em vista o padrão brasileiro conter peculiaridades distintas das europeias.
A começar pelo modelo de jurisdição una. Enquanto em alguns países da Europa, como Espanha [15] e França [16], um cidadão que teve seus dados expostos pode procurar a justiça administrativa, sendo representado pela autoridade de dados correspondente ao país onde reside, no Brasil é comum que o cidadão vítima de incidentes ingresse com ação perante o Poder Judiciário, apesar dos canais de atendimento disponíveis no site da ANPD [17].
O Poder Judiciário tem se mostrado refratário à concessão de indenizações em tais casos, inclusive nos mais graves, como os decorrentes de vazamento de dados, como ocorreu em recente decisão proferida pelo Superior Tribunal de Justiça (STJ) [18], que negou pedido de indenização sob a justificativa de que os dados da vítima de vazamento não eram sensíveis.
Por mais que a decisão contrarie posicionamento de parte da doutrina [19], que defende que dados não sensíveis podem assim ser classificados em decorrência não apenas do tratamento que lhe é conferido, mas também de algum tipo de infração, a posição refratária do Poder Judiciário ocorre devido ao alto índice de judicialização, que poderia ser evitado caso a ANPD exercesse suas atividades de forma contundente, fazendo jus ao rol de competências que lhe foram destinadas.
Eram esses os pontos a serem debatidos. Ainda há muitos capítulos referentes à saga da ANPD, porém, não se pode deixar de notar que certas ações não podem passar despercebidas pela sociedade, que deve preconizar pelo aprimoramento de suas entidades devido a infrações que atingem o núcleo de direitos fundamentais.
[1] Diário Oficial da União. Disponível em https://www.gov.br/anpd/pt-br/assuntos/noticias/2022-62-dou-imprensa-nacional.pdf>. Acesso em 12 jul.2023
[2] TORRES, Isabella Macedo. A saga da natureza jurídica da Autoridade Nacional de Proteção de Dados. Disponível em: < https://www.conjur.com.br/2023-fev-12/publico-pragmatico-natureza-juridica-autoridade-nacional-protecao-dados>. Acesso em 04 jul 2023.
[3] ANPD divulga lista de processos de fiscalização para apuração da conformidade à LGPD e instituições e órgãos que estão sendo investigados. Disponível em: https://www.gov.br/anpd/pt-br/assuntos/noticias/anpd-divulga-lista-de-processos-de-fiscalizacao-em-andamento>. Acesso em 12 de jul.2023.
[4] ANPD divulga lista de processos sancionatórios. Disponível em: https://www.gov.br/anpd/pt-br/assuntos/noticias/anpd-divulga-lista-de-processos-sancionatorios
[6] ANPD. Relatório de Análise de Impacto Regulatório. Disponível em https://www.gov.br/anpd/pt-br/documentos-e-publicacoes/documentos-de-publicacoes/2021.05.25___AIR_Fiscalizacao_Final1.pdf>. Acesso em 12 jul.2023.
[7] ALVES, Fabrício da Mota. Primeiras sanções administrativas da ANPD. Brasília, 06.07.2023. Disponível em https://www.instagram.com/p/CuWv-jzAD5c/>. Acesso em 12 jul.2021.
[8] ANPD aplica primeira multa por descumprimento à LGPD. Disponível em: https://www.gov.br/anpd/pt-br/assuntos/noticias/anpd-aplica-a-primeira-multa-por-descumprimento-a-lgpd>. Acesso em 12 jul.2023
[9] TORRES, Isabella Macedo. op.cit.
[10] STF derruba sigilo de processos administrativos sancionadores na ANTT e na Antaq. Disponível em <https://portal.stf.jus.br/noticias/verNoticiaDetalhe.asp?idConteudo=482782&ori=1>. Acesso em 12 jul.2023.
[11] BRASIL. Supremo Tribunal Federal. Ação direta de inconstitucionalidade 5.371 Distrito Federal. Disponível em <https://portal.stf.jus.br/processos/downloadPeca.asp?id=15350438457&ext=.pdf>. Acesso em 12 jul.2023.
[12] Relatório de Análise de Impacto Regulatório. Disponível em <https://www.gov.br/anpd/pt-br/documentos-e-publicacoes/documentos-de-publicacoes/2021.05.25___AIR_Fiscalizacao_Final1.pdf> Acesso em 12 jul.2023.
[13] Philip Schütz. Data Protection Authorities under the EU General Data Protection Regulation. Disponível em <https://www.researchgate.net/publication/357528774_Data_Protection_Authorities_under_the_EU_General_Data_Protection_Regulation_A_New_Global_Benchmark_extended_version>. Acesso em 12 jul.2023.
[14] ANPD publica regulamento de aplicação de sanções administrativas. Disponível em <https://www.gov.br/anpd/pt-br/assuntos/noticias/anpd-publica-regulamento-de-dosimetria> Acesso em 12 jul.2023.
[15] UNIÃO EUROPEIA. Tribunal de Justiça da União Europeia. Acórdão nº C-131/12. Google Spain SL, Google Inc. Agencia Española de Protección de Datos, Mario Costeja González. Luxemburgo, 2014. Disponível em: https://cdn-conjur.s3.amazonaws.com/uploads/2023/07/cp140070pt.pdf>. Acesso em 13 jul.2023.
[16] LAUX, Francisco de Mesquita. Os limites da jurisdição no território da internet. Disponível em <https://dissenso.org/os-limites-da-jurisdicao-no-territorio-da-internet/>. Acesso em 13 jul.2023.
[17] ANPD. Cidadão/Titular de Dados. Disponível em <https://www.gov.br/anpd/pt-br/canais_atendimento/cidadao-titular-de-dados>. Acesso em 13 jul.2023.
[18] BRASIL. Superior Tribunal de Justiça. Agravo em recurso especial nº 2.130.619/SP. Disponível em <https://processo.stj.jus.br/processo/julgamento/eletronico/documento/mediado/?documento_tipo=integra&documento_sequencial=178204788®istro_numero=202201522622&peticao_numero=&publicacao_data=20230310&formato=PDF>. Acesso em 12 jul.2023.
[19] Mario Viola e Chiara de Teffé em “Tratamento de dados pessoais na LGPD: estudo sobre as bases legais dos artigos 7º e 11”, e Caitlin Mullholand em “Dados pessoais sensíveis e consentimento na Lei Geral de Proteção de Dados Pessoais”. Disponível em: https://www.migalhas.com.br/coluna/migalhas-de-vulnerabilidade/329261/dados-pessoais-sensiveis-e-consentimento-na-lei-geral-de-protecao-de-dados-pessoais>. Acesso em 13 jul.2023.
Seja o primeiro a comentar.
Você precisa estar logado para enviar um comentário.
Fazer login