A Lei Geral de Proteção de Dados entrou parcialmente em vigor em setembro de 2020 e teve suas sanções administrativas postergadas para agosto deste ano. Ou seja, nenhuma sanção administrativa da LGPD poderá ser aplicada até lá.

Todavia, vale ressaltar que a LGPD não possui apenas sanções administrativas, mas também sanções cíveis decorrentes da responsabilidade civil e sanções consumeristas nos casos de incidência de relação de consumo com o titular de dados pessoais, conforme previsto no Código de Defesa do Consumidor.

No último dia 09/03 foi publicado no Diário Oficial da União, o Regimento Interno da Autoridade Nacional de Proteção de Dados, mais conhecida como ANPD. Dentre as funções principais da ANPD estão a responsabilidade de fiscalizar os agentes de tratamento de dados pessoais, bem como aplicar sanções administrativas nos casos de infrações à LGPD.

Certamente as funções da ANPD vão muito mais além do que fiscalizar e aplicar sanções. Porém, para a finalidade deste artigo, centralizarei o discurso nessas duas competências, tendo em vista o grande apelo popular vinculado às atribuições mencionadas.

Antes de adentrar ao mérito organizacional dos procedimentos administrativos relacionados à aplicação das sanções administrativas, cumpre salientar quais são as possíveis penalidades previstas no artigo 52 da Lei Geral de Proteção de Dados, a saber:

• Advertência, com indicação de prazo para adoção de medidas corretivas;

• Multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R﹩ 50.000.000,00 (cinquenta milhões de reais) por infração;

• Multa diária;

• Publicização da infração após devidamente apurada e confirmada a sua ocorrência;

• Bloqueio dos dados pessoais a que se refere a infração até a sua regularização;

• Eliminação dos dados pessoais a que se refere a infração;

• Suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de seis meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;

• Suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de seis meses, prorrogável por igual período;

• Proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.

Enumeradas as sanções administrativas, vale frisar a estrutura organizacional da ANPD e posteriormente a dinâmica procedimental da referida Autoridade, para aplicação das penalidades citadas acima:

• Conselho Diretor;

• Conselho Nacional de Proteção de Dados Pessoais e da Privacidade;

• Secretaria-Geral;

• Coordenação-Geral de Administração;

• Coordenação-Geral de Relações Institucionais e Internacionais;

• Corregedoria;

• Ouvidoria;

• Assessoria Jurídica;

• Coordenação-Geral de Normatização;

• Coordenação-Geral de Fiscalização;

• Coordenação-Geral de Tecnologia e Pesquisa.

Sendo assim, caberá ao Conselho-Geral de Fiscalização fiscalizar e aplicar sanções, mediante processo administrativo regular. Além de receber e apreciar as petições de titulares de dados pessoais apresentadas à ANPD em face dos controladores de dados pessoais.

Do procedimento administrativo instaurado pelo Conselho-Geral de Fiscalização caberá recurso ao Conselho Diretor, o qual é a última instância da ANPD em sede extrajudicial.

Quando o Conselho Diretor funcionar como instância única, caberá pedido de reconsideração devidamente fundamentado, que deverá ser apreciado por diretor distinto daquele que proferiu o voto condutor da decisão recorrida.

O Conselho Diretor será composto por cinco diretores, sendo um deles o Diretor-Presidente. Ele, além do voto ordinário, terá o voto de qualidade em caso de empate.

Todos os procedimentos instaurados pela ANPD deverão assegurar as partes o contraditório, a ampla defesa e o direito de recurso.

A ANPD terá um papel essencial no equilíbrio das ações a serem tomadas em prol da proteção de dados pessoais e consequentemente da privacidade do titular de dados. Além disso, deverá garantir aos controladores e/ou operadores de dados pessoais indiciados por infração à LGPD, todos os direitos e garantias previstas no ordenamento jurídico brasileiro.

A aplicabilidade das sanções deverá considerar diversos aspectos para mensuração da penalidade a ser aplicada, considerando principalmente seu caráter punitivo, mas também pedagógico, afim de que eventuais erros não se repitam.

Daniel Sales Godinho Alves é advogado e DPO do escritório Cerqueira Leite Advogados