As garras da Autoridade Nacional de Proteção de Dados estão claramente bem mais afiadas do que seria possível antecipar
Felipe Palhares
Desde que a Lei Geral de Proteção de Dados Pessoais (LGPD) entrou em vigor, muito se questionou sobre quais seriam as garras da legislação e até que ponto ela efetivamente seria fiscalizada. No melhor estilo da política de pão e circo, quando todos querem ver o palhaço pegando fogo, a ansiedade do mercado era focada na espera pela primeira sanção a ser aplicada pela Autoridade Nacional de Proteção de Dados (ANPD), e a quem seria imposta a primeira multa. Esse momento enfim chegou, e há muito a se aprender com esse precedente.
No dia 6 de julho, foi publicada no Diário Oficial da União a decisão tomada pela Coordenação-Geral de Fiscalização da ANPD (órgão responsável por proferir as decisões de primeira instância nos processos administrativos sancionadores) de imposição das primeiras sanções por violações à LGPD e ao Regulamento do Processo de Fiscalização e do Processo Administrativo Sancionador no âmbito da ANPD. Indiferentemente de eventuais discussões a respeito da legalidade do mérito dessa decisão, que contém diversos pontos questionáveis, existem três lições fundamentais que podem ser obtidas a partir da sua análise.
A primeira delas é que tamanho não importa. Seja você uma pequena, média ou grande organização, todos os agentes de tratamento de dados pessoais estão sujeitos à legislação e podem ser alvos da fiscalização. Inclusive pessoas físicas.
Embora muito tenha se alardeado que as primeiras sanções da ANPD tenham sido impostas a uma microempresa, elas foram, na verdade, aplicadas contra um empresário individual, pessoa física que exerce a atividade empresarial em nome próprio, não se tratando de uma pessoa jurídica. Leia-se: não há onde se esconder, nem mesmo se você for uma pessoa física.
A mensagem é, portanto, cristalina: dados pessoais somente podem ser tratados de acordo com as disposições previstas na LGPD. Quem não cumpre a legislação começa a ter razões concretas para se preocupar e deveria parar de postergar ações de conformidade que já precisariam ter sido implementadas há tempos.
A segunda lição é que uma mesma situação comporta diversas infrações. Esse raciocínio faz com que o céu seja o limite – para as multas – e altera completamente a análise de risco em relação à exposição às sanções que deve ser realizada pelas empresas. Antes da aplicação dessa primeira sanção, existiam dúvidas a respeito de como a ANPD interpretaria a expressão “por infração” contida ao final do artigo 52, II, da legislação.
Esse dispositivo é o que limita a multa simples a 2% do faturamento do último exercício, excluídos tributos, com um segundo limite máximo, de R$ 50 milhões. O pulo do gato é que esses limites são aplicáveis por infração. No caso concreto, a ANPD interpretou que o infrator teria um faturamento de R$ 360 mil, aplicando sanções de multa por duas infrações distintas. No cômputo final, o infrator foi multado em R$ 14.400,00, que representam 4% do seu suposto faturamento.
Não é difícil que uma mesma situação fática resulte na violação de vários dispositivos da LGPD. A depender do critério que se adote, inclusive, é possível concluir que minimamente sempre serão infringidos dois artigos da legislação, já que a lei estipula diversos princípios em seu artigo 6º, que orientam todo o restante da norma. Não possuir medidas de segurança adequadas, por exemplo, pode ser tanto uma infração ao artigo 6º, VII, quanto ao artigo 46 da LGPD.
A terceira lição é que no órgão regulador de proteção de dados aparentemente reina o princípio do in dubio pro ANPD. Em sua primeira sanção aplicada contra um agente de tratamento, a Autoridade fez uma presunção a respeito do faturamento do infrator. Por estar enquadrado na Receita Federal como microempresa, presumiu que o seu faturamento no ano anterior foi o máximo permitido às microempresas.
Em contrapartida, não fez presunção alguma em relação aos tributos que incidem sobre a atividade econômica do infrator. Ainda que o agente de tratamento não tenha se manifestado sobre o valor dos tributos aplicáveis quando questionado pela ANPD, só há uma coisa nessa vida que é certa: sempre existirão tributos. E os tributos são relevantes, pois o cálculo da multa prevista na LGPD tem como base o valor do faturamento, excluídos os tributos.
Seria, portanto, razoável que os tributos também fossem presumidos, ainda que no valor mínimo aplicável. Mas a única presunção feita pela ANPD foi aquela que favoreceu a sua pretensão punitiva, não a que diminuiria a multa a ser aplicada ao infrator. Nada impede, contudo, que o Conselho Diretor da ANPD, instância máxima do órgão, posteriormente reveja a decisão de primeira instância, inclusive independentemente de eventual recurso que tenha sido apresentado pelo infrator, uma vez que a revisão de ofício é autorizada pelo artigo 68 do Regulamento de Fiscalização.
Caso isso não ocorra, a conclusão a ser extraída desse posicionamento da Autoridade é uma só: quando questionado sobre a sua carga tributária, responda o quanto antes sob pena de ter que pagar uma multa inclusive em cima do valor dos tributos já pagos ao Estado.
Em resumo, a primeira sanção aplicada pela ANPD é paradigmática, não pelo valor das multas impostas em si, mas pelo que representa para o sistema de proteção de dados brasileiro e pelas lições que concede a todo o mercado: não ache que você é peixe pequeno; não acredite que você poderá perder apenas 2% do seu faturamento; e não espere que a Autoridade seja generosa na sua interpretação. As garras da ANPD estão claramente bem mais afiadas do que seria possível antecipar.
Felipe Palhares é sócio da área de Proteção de Dados e Cybersecurity do BMA Advogados
Este artigo reflete as opiniões do autor, e não do jornal Valor Econômico. O jornal não se responsabiliza e nem pode ser responsabilizado pelas informações acima ou por prejuízos de qualquer natureza em decorrência do uso dessas informações
Fonte: Valor Econômico, 2 de outubro de 2023