Quando nos perguntam se a Lei Geral de Proteção de Dados irá “pegar”, sempre respondemos que “não só irá”, como já “pegou”. Muitos incrédulos se manifestavam em meados de 2020 dizendo que a LGPD seria apenas para “inglês ver”. Nesse sentido, o jargão popular até que se encaixava perfeitamente, tendo em vista que a União Europeia, criadora da General Data Protection Regulation (GDPR), passou a somente realizar negócios que envolviam tratamento de dados pessoais com nações que tivessem um nível de proteção à privacidade e aos dados pessoais semelhante ao seu e que, então, a norma brasileira viria apenas para suprir essa necessidade (por mais que, com o perdão do trocadilho acima do “inglês ver”, a própria Inglaterra tenha saído da União Europeia – todavia a regulação de proteção de dados em referido país, é uma das mais severas do mundo).
Entretanto, para tristeza dos céticos, o Brasil não tem decepcionado na efetivação das novas regras de proteção de dados. Primeiro, impediu uma nova prorrogação da entrada em vigor da norma em setembro de 2020, garantindo o início imediato das regras em território nacional. Na sequência, em novembro do mesmo ano, aprovou a nomeação dos primeiros ocupantes da Diretoria da Autoridade Nacional de Proteção de Dados e em junho de 2022 garantiu a autonomia de autarquia especial a este órgão responsável pela fiscalização e efetivação das regras propostas pela LGPD.
E mais recentemente, na data de 27 de fevereiro de 2023, a ANPD deu mais um passo importante para se consolidar como órgão fiscalizador, aprovando a Resolução n.º 4/2023, que tem por objetivo estabelecer parâmetros e critérios para aplicação de sanções administrativas, bem como as formas e dosimetrias para o cálculo do valor-base das sanções de multa.
A referida normativa dá aplicabilidade assim às disposições do Art. 52 da Lei 13.709/18 para que a ANPD possa aplicar sanções aos agentes de tratamento de dados em razão de infrações cometidas às normas previstas na LGPD.
Um fator que se destaca dentre essas novas regras são os parâmetros e critérios que influenciam na definição da sanção. Dentre eles, é importante ressaltar aqueles que decorrem natural e diretamente do processo de adequação de qualquer empresa à LGPD, como a demonstração de boa-fé, o seu grau de cooperação, a adoção de mecanismos capazes de minimizar o dano, a adoção prévia de política de boas práticas e governança, entre outras.
Fica claro, portanto, que aqueles que estão em vias de adequação ou com seu programa em pelo funcionamento, garantem condições de defesa para que eventual sanção a um incidente de dados seja-lhe classificada como de natureza leve. O que deve acender um alerta àqueles que ainda não se adequaram e que precisam agir proativamente para garantir a sua conformidade.
Especialmente, pois, a Resolução n.º 4/2023 dispõe também sobre as regras para aquelas punições consideradas como as mais graves previstas pela LGPD, são elas a multa, que pode alcançar o teto de R$ 50.000.000,00 (cinquenta milhões) por infração e a proibição do exercício de atividade relacionada a tratamento de dados.
Assim sendo, diante dessa nova regulamentação, a ANPD sinaliza que está pronta para responder à altura todas as expectativas do cenário internacional, exercendo enfim seu dever de garantidora da proteção de dados no Brasil, servindo de alerta máximo às empresas brasileiras para que se adequem às novas exigências o quanto antes, sob pena de verem seus nomes estampados nas folhas de jornais e nos processos administrativos como os primeiros alvos da fiscalização.