A aplicação de penalidades administrativas aos agentes de tratamento por violação à Lei Geral de Proteção de Dados Pessoais (LGPD), sua dosimetria e quem são os órgãos intitulados a apurar as infrações e impor as sanções é um tema que merece atenção.
Nos termos da LGPD, uma das funções precípuas da Autoridade Nacional de Proteção de Dados (ANPD) é fiscalizar e aplicar sanções em caso de tratamento de dados realizado em descumprimento à legislação. No que toca às penalidades específicas trazidas pela LGPD, é a ANPD que tem competência exclusiva para sua aplicação. Isso, evidentemente, realizado mediante processo administrativo em que assegurado o devido processo legal e a defesa do agente de tratamento.
Mas os agentes de tratamento não estão sujeitos apenas a sanções da ANPD em caso de irregularidade nos seus deveres quando realizam tratamentos de dados. Para tratamento de dados no âmbito de relações de consumo, os agentes poderão ser submetidos a investigações e punições por parte dos órgãos de defesa do consumidor, tais como a Secretaria Nacional de Defesa do Consumidor (SENACON) e os PROCONS. Essa possibilidade está expressamente prevista pelo parágrafo 2º do artigo 52 da LGPD.
Na prática, é o que realmente vem acontecendo. A SENACON já iniciou dezenas de processos administrativos sancionatórios, com aplicação de penalidades quando constatadas infrações em violações ao Código de Defesa do Consumidor.
Essa concomitância de investigações e potenciais penalidades aplicadas pode gerar uma punição em duplicidade aos agentes de tratamento. Isso porque, apesar de a ANPD ser o órgão central de interpretação da LGPD e ter sua competência prevalente em relação às competências correlatas das demais entidades da administração pública no que toca à proteção de dados, como mencionamos, os demais órgãos competentes também podem atuar de modo concomitante e paralelo. Não nos parece, contudo, que essa cumulação seja razoável e, tampouco, que resista a uma interpretação sistemática de nossa legislação.
Nesse contexto, o Acordo de Cooperação Técnica (ACT) celebrado entre a ANPD e a SENACON vem em muito boa hora, representando o compromisso de ambas as agências com a harmonização de condutas, o alinhamento estratégico e a educação dos controladores, operadores e titulares de dados pessoais.
O ACT expressamente reconhece que boa parte das relações entre titulares de dados e controladores decorrem de relações de consumo, e os cinco eixos de ação criados (ações de fiscalização, compartilhamento de informações, indicadores, reclamações de consumidores e incidentes de segurança e capacitação) objetivam justamente evitar duplicação de esforços e promover a uniformização de entendimentos.
Nesse sentido, foi estabelecida a obrigação cruzada entre a ANPD e a SENACON de esclarecerem a interpretação das normas relativas à proteção de dados pessoais e relativas à defesa do consumidor, respectivamente. Também foi definido o dever de a SENACON dar conhecimento à ANPD de notificações sobre incidentes de segurança em grande escala.
Ainda no tocante ao intuito de uniformização, o ACT traz como um objetivo expresso a coordenação de ações "no que tange ao endereçamento de reclamações de consumidores e à atuação no caso de incidentes de segurança envolvendo dados pessoais de consumidores".
Há, ainda, diversas previsões de esforços conjuntos e cruzados em prol de estudos, formação e capacitação com o intuito informativo para todos. No que toca à fiscalização, muito embora o ACT tenha disposições mais genéricas, fica claro o intuito de harmonia entre as entidades com a previsão de deveres de informações estatísticas cruzadas em vista do aprimoramento das atividades de cada órgão.
Apesar de não tratar especificamente das atividades de fiscalização em duplicidade pelos órgãos, o acordo firmado não deixa dúvidas sobre a sua linha mestra: garantir segurança jurídica.
E é assim mesmo que todos os atores da privacidade e proteção de dados pessoais devem se pautar, com razoabilidade e harmonia.
*Patrícia Helena Marta Martins e Bruna Borghi Tomé, sócias nas áreas de Contencioso, Direito do Consumidor, Cybersecurity & Data Privacy de TozziniFreire Advogados
