Valor Econômico
01/02/2024
A União Europeia (UE) está mais avançada que o Brasil na punição de violações às regras de proteção de dados. Por lá, desde 2018, quando entrou em vigor o Regulamento Geral de Proteção de Dados, já foram aplicadas sanções que somam 4,68 bilhões de euros (equivalente a R$ 25 bilhões). Aqui, desde setembro de 2020, data em que começou a valer a Lei Geral de Proteção de Dados (LGPD), foram finalizados pela Agência Nacional de Proteção de Dados (ANPD) apenas cinco processos e somente um deles gerou multa, de R$ 14,4 mil.
A expectativa, contudo, é de que a atuação da ANPD ganhe mais força este ano no país, segundo advogados. Ontem mesmo foi publicada, no Diário Oficial da União, decisão sobre um processo administrativo que resultou em quatro sanções de advertência contra a Secretaria de Estado de Educação do Distrito Federal.
“A imposição de uma nova sanção pela ANPD, ainda em janeiro, indica que este deve ser um ano de intensa fiscalização”, afirma o advogado Felipe Palhares, sócio de Proteção de Dados do BMA Advogados. Pela LGPD, a multa pode chegar a 2% do faturamento, limitado ao teto de R$ 50 milhões, até a interrupção da atividade corporativa.
A decisão de ontem deve servir de alerta para as empresas privadas. Ao contrário dos órgãos públicos, elas podem ser multadas e se a mesma situação ocorresse com uma delas, segundo Palhares, por terem sido aplicadas quatro sanções, a multa seria de até 8% do seu faturamento ou de até R$ 200 milhões.
Apesar de a LGPD (Lei nº 13.709, de 2018) ter entrado em vigor no ano de 2020, somente em fevereiro de 2023 a ANPD regulamentou a aplicação de sanções, por meio da publicação da Resolução nº 4. O primeiro caso, concluído em abril do ano passado, resultou na multa de R$ 14, 4 mil a uma microempresa. Os demais envolvem órgãos públicos. “Mas a tendência é que passe [a ANPD] a analisar casos mais complexos, que podem gerar altas multas”, diz Felipe Palhares.
Os dados do Brasil e da União Europeia constam em levantamento mundial sobre a aplicação de leis de proteção de dados pessoais realizado pelo escritório L.O. Baptista Advogados. De acordo com o advogado Fabrício Polido, sócio da área de direito digital da banca e professor de Direito Comparado e Novas Tecnologias da Universidade Federal de Minas Gerais (UFMG), o cenário no Brasil deve começar a mudar neste ano.
Apesar das poucas autuações até agora, destaca o advogado, o número de comunicados de Incidente de Segurança na ANPD já passam de 500. De janeiro a junho de 2023, foi registrado um aumento de 15,6% (163) em comparação com o mesmo período em 2022 (141).
Segundo Polido, a própria ANPD reconhece que o número de incidentes comunicados à ANPD é baixo, se comparado ao de autoridades de proteção de dados de outros países com população significativamente menor. Isso sugeriria, diz ele, a possibilidade de haver considerável subnotificação e potencial para crescimento no número dessas comunicações.
Apesar do número baixo de processos administrativos na ANPD, Polido afirma que as empresas não devem esperar um sinal de que as autoridades estão mais fiscalizatórias para fazer sua lição de casa. “Os parceiros comerciais já têm exigido processos de due diligence em privacy e cláusulas contratuais robustas nesse sentido”, diz o especialista. O advogado acrescenta que tem existido um maior aparelhamento da ANPD, com a contratação de pessoal e realocação de servidores.
Por meio de nota ao Valor, a ANPD afirma que tem trabalhado em medidas de fortalecimento institucional e, este ano, tem um orçamento de aproximadamente R$ 23 milhões. Diz que a ANPD foi criada com apenas 36 cargos e foram recrutados servidores de outros órgãos para o trabalho. Hoje são 120 servidores, o que ainda não seria suficiente, segundo o órgão, mas há projetos em discussão para aumentar esse número.
Nesse contexto, Fabricio Polido afirma que a análise de dados globais “pode ser um termômetro para o que pode vir a acontecer no Brasil”. Essa é a terceira edição do estudo global sobre proteção de dados elaborado pelo escritório L.O. Baptista. O balanço também abrange Argentina, Uruguai, Canadá, Estados Unidos e Austrália, que já regulamentaram o tema.
Para Polido, essa edição confirma a tendência verificada desde o ano de 2021. Enquanto União Europeia e Reino Unido cobram multas elevadas, os demais países seguem um caminho mais brando, com advertências, medidas educativas, notificações e a celebração de termos de compromisso.
No ano de 2023, a União Europeia bateu um novo recorde com aumento de 14% nos valores totais de multas aplicadas- algo em torno de 1,78 bilhão de euros (R$ 9,58 bilhões).
A Irlanda permanece na liderança com o valor global de multas aplicadas, desde de 2018, de 2,86 bilhões de euros (R$ 15,3 bilhões). Ainda ocupa a o primeiro lugar para a maior multa já imposta em infrações às leis de proteção de dados: 1,2 bilhão de euros (R$ 6,46 bilhões). Foi aplicada contra a Meta no ano passado.
O país lidera em número de autuações, provavelmente, por ser um dos países preferidos pelas empresas de tecnologia, ao estabelecerem sua principal sede de negócios na União Europeia, atraídas pelos pesados benefícios e incentivos fiscais.
Até o ano de 2022, as condenações na União Europeia giravam em torno de discussões triviais. No ano passado, aumentaram as multas que tratam de temas mais complexos. São sanções sobre agentes de tratamento, inteligência artificial, privacidade de crianças e adolescentes, reconhecimento facial, sistema de segurança pública e a proteção de direitos de titulares em atividades de transferência internacional de dados.
De acordo com Polido, o Reino Unido, França e Alemanha também tendem a ser mais punitivos. Já Itália e Espanha tendem a ser mais pedagógicos, com a aplicação de multas mais baixas.
Na Argentina, as multas aplicadas em 2023 variaram entre 10 mil pesos e 3 milhões de pesos (equivalente a R$ 59,80 e R$ 17.940), a depender da gravidade e tipo de infração. O Uruguai tem optado por ações mais saneadoras e preventivas, como as advertências.
Nos Estados Unidos – recém-chegados na elaboração de leis que protegem dados -, a competência sobre o assunto é estadual. A Califórnia foi o primeiro a regulamentar o tema no ano de 2018. Agora já existem leis também em Virginia, Colorado, Conectcut e Utah. Na Califórnia, o número de reclamações aumentou 92% entre os anos de 2022 (52) e 2023 (100).
Os segmentos empresariais mais multados continuam os mesmos, desde a primeira edição da pesquisa, em 2021. Além do setor de tecnologia, são as empresas de telecomunicações, varejistas e do setor financeiro. Nos Estados Unidos, contudo, chama a atenção também a fiscalização do setor de saúde, o que, para Polido, serve de alerta ao Brasil. “O setor deve investir em gestão de dados.”
