Suspensão de atividades: a punição mais dura da lei de proteção de dados

Esqueça a multa. Essa semana o Congresso derrubou os vetos presidenciais às punições mais pesadas da Lei Geral de Proteção de Dados: a possibilidade de suspensão parcial do funcionamento do banco de dados pelo período de no máximo 6 meses; de suspensão do exercício da atividade de tratamento dos dados pessoais pelo período de no máximo 6 meses; e de proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados. Sanções que passam a ser aplicáveis inclusive às entidades e aos órgãos públicos.

A sociedade civil organizada comemorou. O setor empresarial lamentou. E advogados e estudiosos divergiram a respeito.

"Vitória parcial!", tuitou a Coalizão Direitos na Rede, que defendia a derrubada da maioria dos vetos à LGPD, lembrando que o veto à possibilidade de revisão das decisões automatizadas ainda não foi apreciado.

"Em um sistema regulatório ideal, mais maduro, justo e equilibrado, elas formam o conjunto de penalidades necessário. Mas são as três penalidades mais graves, que dão superpoderes ao órgão regulador. Há, sim, um risco muito grande de uso inadequado desse instrumento", ponderou Fabrício da Mota Alves, advogado que foi assessor parlamentar do Senado durante a tramitação do projeto de lei que resultou na LGPD.

"Um equívoco grosseiro", opinou Marcel Leonardi, consultor na Pinheiro Neto Advogados. "Vamos depender de bom senso e isso sempre é difícil por aqui", completou.

Três opiniões que resumem bem as reações ouvidas no dia de ontem.

Vale lembrar que essas três sanções foram objeto de vetos por duas vezes, tanto pelo presidente Temer quanto pelo presidente Bolsonaro. Ambos sensíveis aos pedidos feitos pelo setor empresarial e por algumas empresas do setor público que sempre manifestaram preocupação em relação a elas. Acreditam que, no limite extremo, poderia "culminar com a inviabilidade de atividades econômicas legítimas de tratamento de dados pessoais".

"Vamos supor que a autoridade nacional de proteção de dados impeça uma empresa de tratar dados pessoais por quinze dias, como sanção. E que essa empresa seja uma companhia aérea. Aviões não poderão decolar por quinze dias…", exemplifica Marcel Leonardi.

Uma medida drástica, sem dúvida. Que para ser adotada precisará de pesos e contrapesos, lembram os mais teóricos, como o professor Danilo Doneda, do Instituto de Direito Público.

Ele explica que as sanções previstas pela lei são variadas e proporcionais às infrações cometidas. Começam com mera advertência, passando pelas multas (consideradas módicas por ele, em relação a outro ordenamentos jurídicos) e só depois, em último caso, o legislador considera essas três possibilidades mais severas.

"De fato, a suspensão de atividade só é aplicável em caso de reincidência da infração no caso concreto", pontua Fabrício. "Diferente da reincidência penal, em que se deixa de ser réu primário por qualquer delito que se tenha cometido, na LGPD os casos de reincidência dizem respeito exclusivamente à infração cometida. Se você roubou galinha, só vai ser considerado reincidente se voltar a roubar galinha", explica.

Além disso, há um dispositivo na lei que fala da coordenação da ANPD com setores regulados. No caso da companhia aérea, por exemplo, a ANAC deveria ser consultada antes da aplicação da penalidade mais severas, em tese…

"Acontece esse mesmo dispositivo fala que à ANPD competirá exclusivamente a aplicação dessas penalidades", lembra Fabrício, nos trazendo de volta ao x da questão. "A lei precisava ter dentes, mas ainda não sabemos quão afiados eles serão", argumenta.

Ou quão feroz o dono dos dentes será, não é mesmo?

"Imagine uma ANPD com integrantes pouco dispostos ao diálogo…", pondera Marcel Leonardi.

Rony Vainzof, sócio do escritório Opice Blum, Bruno, Abrusio e Vainzof Advogados Associados, também vê a volta dessas sanções com bastante receio, a depender de como a ANPD tratará os casos de eventuais violações de dados pessoais. "Sempre defendi que a ANPD tenha uma construção colaborativa. Que ela, ao regulamentar a lei, pavimente e eduque o mercado, de modo a não perder credibilidade que é dever dela, na minha opinião, ainda mais em um país em que a cultura não é a da proteção de dados", disse.

Rony sempre defendeu que as multas só fossem usados em casos extremos, de reiterados descumprimentos das advertências. "Deve haver uma gradação das sanções. E quando o legislador estende as possibilidades de sanções como aconteceu agora, por mais que a lei tenha um inciso que obrigue a autoridade a impor uma outras das sanções antes de partir para essas mais contundentes, a autoridade precisará ter muito equilíbrio para somente utilizar a possibilidade de suspensão de atividades em último caso", argumenta.

Visões pró-sanções
Favorável à queda dos vetos, Danilo Doneda pondera que o sistema de multas previstas na LGPD pode não ser forte o bastante para uma proteção forte.

"Temos valores altos, mas não tão altos assim para algumas empresas que lucram muito com o tratamento dos dados pessoais. Já vemos empresas fazendo compliance contando com o fato de a multa de 50 milhões de reais ser pouco significativa. Então é muito importante ter outras alternativas de penalidades", comenta o professor.

Danilo acredita que a ANPD terá toda uma dosimetria para a aplicação das sanções. Em especial as mais drásticas, como a da suspensão das atividades.

Ele lembra ainda que o Código de Defesa do Consumidor já prevê as possibilidades de sanções semelhantes, como suspensão e bloqueio de atividades, aplicáveis por órgão de defesa do consumidor para atividades de proteção de dados dos consumidores. "Então não é o fato dessas sanções terem sido vetadas antes, na LGPD, que eximiria completamente uma empresa de sofrer uma sanção administrativa desse tipo", afirma.

"E em casos extremos, o Judiciário também será acionado, certamente. Lembrando que, em princípio, ele se pronuncia de forma avessa a sanções perpétuas", comenta Ulysses Alves de Levy Machado, ex-Coordenador Geral de Segurança da Informação e atual assessor da presidência do órgão para implementação da LGPD.

Pessoalmente, Ulysses é favorável à extensão dessas sanções, inclusive para os órgãos públicos. "É cumprir a Lei e fazer o melhor possível para escapar dessa modalidade de sanção", argumenta.

ANPD independente
Uma das icógnitas dessa história é justamente o perfil da da autoridade. Ela já não tem independência funcional, como o desejado, uma vez que o Executivo a vinculou à Presidência da República.

E embora muitos neguem, em Brasília, a possibilidade de que venha a ter alguma participação direta de integrantes do GSI e do Exército também é grande.

Razão pela qual alguns setores da sociedade já começam a se articular em defesa de nomeações técnicas que garantam ao menos a autonomia técnica do órgão.

"Resolvemos não indicar nenhum nome nem lista", me disse um integrante do setor empresarial que acompanha de perto od debates. "Mas vamos defender a tecnicidade dos nomeados", completou.

E nomeações não técnicas, no cenário atual, são muito prováveis.

"Já pensou? Pessoas que não entendem do tratamento de dados podendo fiscalizar, regulamentar e julgar e… paralisar atividades sem muito critério", criticou um empresário.

O equilíbrio será fundamental.

Em outros países, como o Uruguai, que tem uma autoridade de dados vinculada a um ministério, mas com independência técnica, a lei prevê a suspensão de atividades como última opção. Semanas atrás, de passagem pelo Brasil, Laura Nahabetian Brunet, gerente da Divisão de Direitos dos Cidadãos da AGESIC e Assessora Jurídica do Parlamento Uruguaio, comentou em um evento da In Loco University que lá algumas empresas já tiveram suas atividades suspensas. Mas como último recurso para proteger o direito dos cidadãos.

Lá, assim como na Argentina, as multas são menores que as estipuladas na LGPD. "No Uruguai, a multa mais cara é de 'hasta quinientas unidades indexadas'. Isso corresponde a uns R$ 229.00. Na Argentina a multa alta não fez sucesso: estamos falando de algo em torno de R$ 8.641,85.", comentou Ulysses.

Um estudo recente do IDEC levantou os desenhos institucionais das autoridades de proteção de dados pessoais em países da América Latina, investigando seu grau de autonomia e independência, para averiguar se há um nexo entre este fator estrutural e os níveis de garantia da proteção de dados pessoais nestes países. Vale ler!

Outros pontos de atenção
Um veto não derrubado, mas que deveria ter sido, é ao da possibilidade de ANPD cobrar taxas para financiar as suas atividades.

"Isso seria um ponto altamente positivo para a desejada independência financeira da autoridade", opina Renato Leite Monteiro, professor e fundador do Data Privacy Brasil. "Agora a autoridade terá ao menos duas fontes de renda: o orçamento público, definido pelo Poder Executivo, e a possibilidade de cobrança de taxas, assim como faz o Cade".