Com o intuito de proteger os dados pessoais, a Lei Geral de Proteção de Dados (LGPD, Lei nº 13.709/2018) atribuiu uma significativa importância à prevenção de incidentes. O artigo 46 estipula a obrigação de adoção de medidas de segurança pelos agentes de tratamento - ou seja, pelos controladores e operadores. Esses incidentes de segurança são definidos, segundo a Autoridade Nacional de Proteção de Dados (ANPD), como qualquer evento adverso, confirmado ou sob suspeita, relacionado à violação na segurança de dados pessoais.

Conforme o artigo 48 da referida norma, caso ainda assim sejam detectados esses tipos de ocorrência, os controladores - responsáveis pelas tomadas de decisões acerca do tratamento de dados - devem comunicá-los, sempre que puderem acarretar graves riscos ou danos, à ANPD e ao titular dentro de prazo razoável. Não obstante a LGPD preveja que a autoridade nacional especificará em quanto tempo deve ser feita tal comunicação - assim como a partir de quando tal prazo deverá ser contado, não há até então uma regulamentação nesse sentido.

Muito embora a LGPD delineie o modelo fiscalizatório responsivo, baseado na celeridade da comunicação de um possível incidente de segurança pelos controladores e operadores, certo é que a adoção de tal medida somente terá eficácia se a resposta da ANPD também ocorrer dentro de prazo razoável.  

Atualmente a ANPD recomenda que essas comunicações sejam realizadas o mais brevemente possível e indica - a título indicativo - o prazo de dois dias úteis, contados da tomada de conhecimento sobre o incidente. Esse lapso temporal recomendado pela autoridade nacional baseia-se no artigo 18, §1º, do Decreto nº 9.936, de 24 de julho de 2019 [1]:

"DOS PROCEDIMENTOS NA HIPÓTESE DE VAZAMENTO DE INFORMAÇÕES
Artigo 18.  Na ocorrência de vazamento de informações de cadastrados ou de outro incidente de segurança que possa acarretar risco ou prejuízo relevante a cadastrados, o gestor de banco de dados comunicará o fato:
I - à Autoridade Nacional de Proteção de Dados, na hipótese de ocorrência que envolva o fornecimento de dados de pessoas naturais;
II - ao Banco Central do Brasil, na hipótese de ocorrência que envolva o fornecimento de dados prestados por instituições autorizadas a funcionar pelo Banco Central do Brasil; e
III - à Secretaria Nacional do Consumidor do Ministério da Justiça e Segurança Pública, na hipótese de ocorrência que envolva o fornecimento de dados de consumidores.

§1º A comunicação de que trata o caput será feita no prazo de dois dias úteis, contado da data do conhecimento do incidente, e mencionará, no mínimo:

I - a descrição da natureza dos dados pessoais afetados;
II - as informações sobre os cadastrados envolvidos;
III - a indicação das medidas de segurança utilizadas para a proteção dos dados, inclusive os procedimentos de encriptação;
IV - os riscos relacionados ao incidente; e
V - as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo".

A redação de tal artigo do decreto, inclusive, guarda semelhanças com a redação do §1º do artigo 48 da LGPD dispõe, sobretudo no que tange aos elementos mínimos que devem constar na comunicação do incidente de segurança, quais sejam: a)  a descrição da natureza dos dados pessoais afetados; b) as informações sobre os titulares envolvidos; c) a indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados, observados os segredos comercial e industrial; d) os riscos relacionados ao incidente; e) os motivos da demora, no caso de a comunicação não ter sido imediata; e f) as medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo.

Nesse sentido, caberá à autoridade nacional analisar a gravidade do incidente e determinar as providências necessárias para garantir a proteção dos dados dos titulares, que podem variar desde uma ampla divulgação do fato até outras medidas capazes de reverter ou mitigar os efeitos do incidente. Esses dispositivos demonstram a importância de garantir medidas de proteção aos dados de forma preventiva e repressiva, sobretudo comunicando a ocorrência de incidentes o quanto antes aos titulares dos dados e à ANPD.

Dentro do modelo fiscalizatório responsivo adotado pela ANPD, a demonstração da cooperação e a boa-fé dos agentes de tratamento ocupam um espaço bastante importante. Inclusive, chegam a ser alguns dos critérios analisados pela autoridade nacional ao decidir se e quais sanções administrativas serão aplicadas, consoante o artigo artigo 52, §1º, da LGPD [2].

A autoridade nacional tem reforçado, a partir dessa abordagem responsiva, que o objetivo dos procedimentos fiscalizatórios é focado, principalmente, na indução ao comportamento aderente à LGPD, sem que seja necessário chegar a um processo sancionador. De tal forma, a intenção é investir nas ferramentas de monitoramento, orientação e prevenção, a fim de que a repressão funcione como ultima ratio, quando não for possível a adequação com os demais recursos.

Por conseguinte, a fase de monitoramento desse processo fiscalizatório - perante a Autoridade Nacional de Proteção de Dados - consiste no acompanhamento dos setores, a fim de que sejam coletadas informações e subsídios capazes de contribuir para as ações de fiscalização. Nesta lógica, a etapa de orientação atua com base nos subsídios obtidos com o monitoramento, e foca em atividades de instrução a partir de ações educativas, disponibilização de guias, de modelos de documentos, do reconhecimento de boas práticas, entre outras.

Na fase de prevenção, por sua vez, o objetivo principal é reconduzir o agente regulado à conformidade com a Lei Geral de Proteção de Dados. Assim, visa evitar situações que possam gerar danos aos titulares e constitui-se como uma ligação intermediária entre os processos de orientação e repressão.

Nessa fase negocial preventiva, são firmados compromissos entre a autoridade e os agentes de tratamento. Tal processo não implica, necessariamente, a aplicação de sanções; todavia, caso não sejam cumpridas tais incumbências, poderá ser iniciada a etapa de repressão.

Como uma última medida antes da instauração do processo sancionador, a ANPD realiza uma comunicação aos regulados, no formato de aviso, na qual consta prazo para resposta e regularização. Logo, caso não sejam realizadas medidas efetivas dentro do tempo estipulado pela autoridade nacional, parte-se para a apuração formal das infrações à LGPD - representada pela fase de repressão.

Nesse ínterim, é instaurado processo administrativo sancionador, e caso seja comprovada conduta ilícita, será aplicada a sanção cabível. Em síntese, tal etapa repressiva contempla os seguintes estágios: 1) instauração do processo administrativo sancionador, 2) determinação de medidas de instrução, 3) proferimento de decisão e 4) fase recursal - assegurando os princípios da ampla defesa e do contraditório. Enfim, a autoridade nacional ressalta que a postura do agente de tratamento é crucial para definir como se ocorrerão as fases desse processo fiscalizatório responsivo.

No tocante às sanções, cabe ratificar que a aplicação daquelas específicas da LGPD compete privativamente à ANPD, conforme o artigo 55-K [3] da aludida norma. O artigo 52 da Lei nº 13.709, de 14 de agosto de 2018, as tipifica mediante nove tipos, quais sejam:  advertência, multa simples, multa diária, publicização da infração, bloqueio dos dados pessoais, eliminação dos dados pessoais, suspensão parcial ou total do funcionamento do banco de dados, suspensão do exercício da atividade de tratamento e proibição parcial ou total do exercício de atividades.

Diante deste contexto, percebemos a relevância que é destinada à cooperação dos agentes de tratamento no decorrer desses processos no âmbito da ANPD, e de como a comunicação de incidentes de segurança à autoridade - feita dentro de prazo razoável - é tida como uma demonstração colaborativa, pela autoridade. Isso revela a importância que a comprovação da realização das comunicações adequadas e da adoção de medidas de segurança tem no processo fiscalizatório, com o potencial de atenuar ou afastar as sanções administrativas.

No entanto, tal panorama faz emergir o seguinte questionamento: qual seria o prazo razoável de resposta da ANPD acerca de tal comunicação sobre incidente de segurança?  Se a finalidade da brevidade de tal comunicação - por parte dos agentes - reside na possibilidade de mitigar os efeitos do mesmo o quanto antes, por meio da análise do caso pela autoridade nacional e da recomendação de medidas, é necessário que também exista uma previsão de prazo de resposta da ANPD.

Desse modo, da mesma maneira que é recomendado aos agentes de tratamento o breve prazo de dois dias úteis para relatar o incidente, seria imprescindível que a autoridade nacional se manifesta sobre o mesmo em duração razoável. Entretanto, não há ainda previsão ou equiparação legal nesse sentido.

Embora a Resolução CD/ANPD nº 1, de 28 de outubro de 2021 - que regulamenta o Processo de Fiscalização e do Processo Administrativo Sancionador no âmbito da Autoridade Nacional de Proteção de Dados - estipule o prazo de dez dias úteis para algumas ações processuais, como apresentação de defesa pelo agente de tratamento, não se localiza em tal normativa previsão alguma acerca do prazo de resposta da própria autoridade nacional.

Em tal situação, a observância ao princípio constitucional da duração razoável do processo administrativo - constante no artigo 5º, LXXVIII, da Constituição Federal - faz-se extremamente necessária para que se protejam, de fato, os dados pessoais. Logo, não basta que exista prazo para a notificação por parte dos agentes de tratamento, sem que haja uma reciprocidade no que tange à celeridade por parte da autoridade nacional.

Em que pese não exista uma precisão acerca do que seria essa duração razoável, tendo em vista que cada caso possui suas particularidades - as quais merecem ser verificadas no caso concreto, tem sido recomendado o prazo de dois dias úteis - por equiparação - para os agentes de tratamento realizaram a comunicação dos incidentes. Então, o mesmo poderia ser feito no que concerne à manifestação da Autoridade Nacional de Proteção de Dados acerca dessas comunicações.

Nesse contexto inicial de incertezas, é comum que sejam visualizadas lacunas acerca de algumas regulamentações. Entretanto, é importante que não só a sociedade civil, mas também a Administração Pública fique atenta e se manifeste acerca dessas ausências, com o fim de possibilitar uma maior segurança jurídica e transparência acerca desses novos processos.

Referências

https://www.in.gov.br/en/web/dou/-/resolucao-cd/anpd-n-1-de-28-de-outubro-de-2021-355817513

https://www.gov.br/participamaisbrasil/norma-de-fiscalizacao-da-anpd

http://www.planalto.gov.br/ccivil_03/constituicao/constituicao.htm

http://www.planalto.gov.br/ccivil_03/_ato2019-2022/2019/decreto/D9936.htm

http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm

[1] Regulamenta a Lei nº 12.414, de 9 de junho de 2011, que disciplina a formação e a consulta a bancos de dados com informações de adimplemento, de pessoas naturais ou de pessoas jurídicas, para formação de histórico de crédito.

[2] Artigo 52. Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas nesta Lei, ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional:

§1º As sanções serão aplicadas após procedimento administrativo que possibilite a oportunidade da ampla defesa, de forma gradativa, isolada ou cumulativa, de acordo com as peculiaridades do caso concreto e considerados os seguintes parâmetros e critérios:

I - a gravidade e a natureza das infrações e dos direitos pessoais afetados;

II - a boa-fé do infrator;

III - a vantagem auferida ou pretendida pelo infrator;

IV - a condição econômica do infrator;

V - a reincidência;

VI - o grau do dano;

VII - a cooperação do infrator;

VIII - a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados, em consonância com o disposto no inciso II do §2º do artigo 48 desta Lei;

IX - a adoção de política de boas práticas e governança;

X - a pronta adoção de medidas corretivas; e

XI - a proporcionalidade entre a gravidade da falta e a intensidade da sanção.

[3] Artigo 55-K. A aplicação das sanções previstas nesta Lei compete exclusivamente à ANPD, e suas competências prevalecerão, no que se refere à proteção de dados pessoais, sobre as competências correlatas de outras entidades ou órgãos da administração pública (Incluído pela Lei nº 13.853, de 2019).

Parágrafo único. A ANPD articulará sua atuação com outros órgãos e entidades com competências sancionatórias e normativas afetas ao tema de proteção de dados pessoais e será o órgão central de interpretação desta Lei e do estabelecimento de normas e diretrizes para a sua implementação. 

Por Kelly Oliveira de Araujo é advogada, sócia-fundadora do escritório Kelly Araújo Advocacia, sócia do escritório Felipe Santa Cruz Advogados Associados, especialista em Direito Público, mestranda em Direito Constitucional pela Universidade de Brasília (UnB) e ex-Diretora de Política Judiciária do Ministério da Justiça.