A Lei Geral de Proteção de Dados (“LGPD”), em vigor desde setembro de 2020, representa um marco significativo para o Brasil, introduzindo desafios e oportunidades no contexto da proteção de dados pessoais. Esta legislação estabelece princípios, direitos e deveres que regem o tratamento de dados, com a Autoridade Nacional de Proteção de Dados (“ANPD”) encarregada de fiscalizar e impor sanções em caso de violações.

A LGPD define dados pessoais como informações relacionadas a uma pessoa natural identificada ou identificável, distinguindo dados pessoais comuns e sensíveis, que abrangem categorias como origem racial ou étnica, convicção religiosa, opinião política, entre outros. Os dez princípios fundamentais delineados pela LGPD, incluindo finalidade, necessidade e transparência, visam garantir um tratamento lícito, legítimo e proporcional dos dados.

No escopo dessa regulação, a ANPD desempenha um papel crucial, sendo responsável pela supervisão e orientação dos agentes de tratamento. A agência possui autoridade para aplicar diversas sanções administrativas, como advertências, multas e até a suspensão das atividades relacionadas ao tratamento de dados. Sua atuação visa regulamentar a aplicação dos artigos 52 e 53 da LGPD, incluindo a definição dos critérios e parâmetros para as sanções pecuniárias e não pecuniárias

A regulamentação da ANPD. A regulamentação da ANPD é o conjunto de normas e procedimentos que a autoridade nacional de proteção de dados estabelece para orientar, fiscalizar e sancionar os agentes de tratamento de dados pessoais, em conformidade com a LGPD. A ANPD tem competência para editar resoluções, portarias, enunciados e outros atos normativos, bem como para instaurar processos administrativos sancionadores, nos termos da lei e do seu regimento interno.

A ANPD iniciou suas atividades em novembro de 2020, com a nomeação dos seus cinco diretores, e desde então vem publicando diversas regulamentações, que abordam temas como o processo de fiscalização, a aplicação de sanções, a dispensa do relatório de impacto, o tratamento de dados de crianças e adolescentes, a política de comunicação social, entre outros. A ANPD também tem realizado consultas e audiências públicas, para ouvir as demandas e as sugestões dos agentes de tratamento e da sociedade em geral, sobre os assuntos relacionados à proteção de dados pessoais, e busca harmonizar as diferentes interpretações e aplicações da LGPD, tanto pelos agentes de tratamento, quanto pelo poder judiciário, evitando conflitos e insegurança jurídica.

A regulamentação da ANPD é um processo dinâmico e contínuo, que se adapta às mudanças e aos desafios impostos pelo cenário atual de tratamento de dados pessoais, que envolve questões complexas e sensíveis, como a inteligência artificial, a biometria, a internet das coisas, o open banking, entre outras.

Para atingir esses objetivos, a ANPD estabeleceu um regulamento que define a dosimetria para o cálculo do valor-base das multas, promovendo alterações nos artigos 32, 55 e 62 da Resolução nº 1 CD/ANPD de 28 de outubro de 2021, que aprova o Regulamento do Processo de Fiscalização e do Processo Administrativo Sancionador. Essas modificações visam aprimorar o processo administrativo sancionador e de fiscalização.

Em fevereiro de 2023, a ANPD publicou a Resolução CD/ANPD nº 4, de 24 de fevereiro de 2023, Regulamento de Dosimetria e Aplicação de Sanções Administrativas, que estabelece os parâmetros e critérios para a aplicação das sanções às organizações que descumprirem a LGPD ou os regulamentos da ANPD.

Dentre as principais diretrizes trazidas pelo Regulamento supracitado, podemos citar:

• sanções de suspensão do funcionamento do banco de dados, suspensão do exercício da atividade de tratamento e proibição parcial ou total do exercício de atividades de tratamento, consideradas mais severas, só poderão ser aplicadas após alguma das outras sanções previstas na lei já ter sido imposta para o mesmo caso concreto;

• as sanções serão aplicadas individualmente caso haja pluralidade de infratores;

• o descumprimento à sanção aplicada ou a não-regularização da conduta ensejará a progressão da atuação da ANPD;

Entre os parâmetros que serão considerados para a definição da sanção, cabe destacar os seguintes:

• a boa-fé do infrator;

• a cooperação do infrator;

• a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados, em consonância com a LGPD;

• a implementação de uma política de boas práticas e governança; e

• a pronta adoção de medidas corretivas.

A publicação do Regulamento confere carta branca à ANPD para exercer efetivamente as suas funções fiscalizadora e sancionadora, asseguradas pelo artigo 55-J, da LGPD.

As sanções da LGPD. Dentro desse contexto regulatório, as sanções previstas na LGPD abrangem uma gama significativa de medidas punitivas, visando assegurar o cumprimento rigoroso das normas de proteção de dados. Tais sanções incluem:

• advertências;

• multas proporcionais ao faturamento da empresa (limitadas a R$ 50.000.000,00 por infração);

• multas diárias (com teto total de R$ 50.000.000,00);

• publicização da infração;

• bloqueio e eliminação de dados pessoais;

• suspensão parcial do funcionamento do banco de dados (por até seis meses, prorrogáveis);

• suspensão do exercício da atividade de tratamento de dados (por até seis meses, prorrogáveis);

• proibição parcial ou total do exercício de atividades relacionadas ao tratamento de dados.

As primeiras atuações da ANPD. Até o momento, a ANPD aplicou duas sanções administrativas, ambas de natureza pecuniária, a empresas que violaram a LGPD. A primeira sanção foi aplicada em julho de 2023, no valor de R$ 14.400,00, à Telekall Infoservice, uma microempresa de telecomunicações, por oferecer contatos de WhatsApp de eleitores para fins de campanha política, sem comprovar a hipótese legal para o tratamento dos dados, sem registrar as operações, sem enviar o Relatório de Impacto de Proteção de Dados, sem indicar um encarregado de dados pessoais, e sem atender às requisições da ANPD.

A ANPD considerou que a Telekall Infoservice violou os artigos 7 e 41 da LGPD, que tratam, respectivamente, da obrigação de indicar um encarregado pelo tratamento de dados pessoais, com as respectivas identidade e informações de contato divulgadas publicamente de modo claro e objetivo, preferencialmente no site da empresa, e da obrigação de fundamentar o tratamento conforme as bases legais previstas na Lei, como o consentimento do titular, o cumprimento de obrigação legal ou regulatória, a proteção da vida ou da saúde, entre outras.

A ANPD também considerou que a Telekall Infoservice violou o artigo 5º do Regulamento de Fiscalização, que prevê deveres a serem observados pelos agentes regulados, como fornecer cópia de documentos e informações relevantes para a avaliação das atividades de tratamento de dados, por parte da ANPD.

A ANPD impôs à Telekall Infoservice medidas corretivas para sanar as falhas detectadas, como a indicação de um encarregado de dados pessoais, a comprovação da base legal para o tratamento dos dados, o registro das operações, o envio do Relatório de Impacto de Proteção de Dados, e o atendimento às requisições da ANPD.

A segunda sanção aplicada pela ANPD em outubro/2023 [1], foi uma advertência ao Instituto de Assistência ao Servidor Público Estadual de São Paulo (“IAMSPE”), um órgão público estadual que presta assistência médica e hospitalar aos servidores públicos do Estado de São Paulo. A advertência foi motivada pela falta de comunicação adequada de um incidente de segurança que afetou os dados pessoais dos usuários do IAMSPE, bem como pela falta de medidas de segurança adequadas para proteger esses dados.

A ANPD considerou que o IAMSPE violou os artigos 48 e 49 da LGPD, que tratam, respectivamente, da obrigação de comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, e da obrigação de estruturar os sistemas utilizados para o tratamento de dados pessoais de forma a atender aos requisitos de segurança, aos padrões de boas práticas e de governança e aos princípios gerais previstos na Lei e nas demais normas regulamentares.

A ANPD impôs ao IAMSPE medidas corretivas para sanar as falhas detectadas, como o ajuste do comunicado disponibilizado no site do IAMSPE sobre o incidente de segurança ocorrido em 2022, e a elaboração de um cronograma para implementação de ações com a finalidade de aumentar a segurança dos sistemas de armazenamento e tratamento de dados pessoais do IAMSPE, diminuindo sua vulnerabilidade a incidentes de segurança.

As duas sanções aplicadas pela ANPD, em julho e outubro de 2023, foram as primeiras punições impostas pela autoridade por violações à LGPD, que entrou em vigor em setembro de 2020. As sanções servem como um alerta para os agentes de tratamento, que devem se adequar às normas da LGPD, sob pena de sofrerem consequências administrativas, civis e penais.

A atuação da ANPD pode ser considerada morosa por alguns, considerando que a LGPD entrou em vigor em setembro de 2020 e que a autoridade só aplicou duas sanções até o momento, em julho e outubro de 2023. Além disso, a ANPD ainda não regulamentou diversos pontos da lei que estão em aberto, como as hipóteses de dispensa do relatório de impacto, os procedimentos de revisão de decisões automatizadas, os padrões de segurança e boas práticas, entre outros.

No entanto, também é possível argumentar que a atuação da ANPD não é morosa, mas sim cautelosa e orientativa, levando em conta a complexidade e a abrangência da LGPD, que afeta diversos setores e atividades que envolvem o tratamento de dados pessoais. A ANPD tem buscado promover a conscientização e a educação sobre a proteção de dados, bem como dialogar com os agentes de tratamento e com a sociedade, por meio de consultas e audiências públicas, antes de aplicar sanções mais severas. A ANPD também tem enfrentado desafios estruturais, orçamentários e operacionais, que podem dificultar a sua atuação plena e eficiente.

As decisões do TJSP. Enquanto a ANPD inicia suas atividades, o Poder Judiciário já enfrenta diversas demandas ligadas à LGPD, principalmente aquelas relacionadas a vazamentos de dados. Isso significa que o agente de tratamento responde pelos danos causados aos titulares dos dados, independentemente de culpa, cabendo-lhe apenas alegar e provar as excludentes de responsabilidade previstas na LGPD, como a inexistência do tratamento, a ausência de nexo causal ou a culpa exclusiva do titular ou de terceiro. No entanto, em algumas situações, o tribunal tem exigido a prova do dano efetivo ou considerado a natureza dos dados vazados. Dessa forma, o TJSP diferencia os dados sensíveis dos dados comuns, conforme definidos pela LGPD, e avalia o grau de proteção e de reparação que cada um deles requer.

Os dados sensíveis são aqueles que revelam aspectos íntimos da personalidade ou da vida privada do titular, como origem racial ou étnica, convicção religiosa, opinião política, dados genéticos ou biométricos, entre outros, e que exigem um tratamento mais cuidadoso e restrito, sob pena de sanções mais severas e de presunção de dano moral em caso de vazamento. Os dados comuns são aqueles que não se enquadram nessa categoria, e que demandam uma demonstração do prejuízo concreto ou da violação da dignidade, honra ou imagem do titular para gerar direito à indenização.

Alguns exemplos ilustrativos do posicionamento do TJSP:

(a) Processo nº 1000406-21.2021.8.26.0405 [2]: nesse caso, a 36ª Câmara de Direito Privado do TJSP, em 13 de outubro de 2021, acatou o recurso de apelação da Eletropaulo Metropolitana Eletricidade de São Paulo S/A, julgando improcedente a ação indenizatória movida por uma consumidora que teve seus dados básicos vazados por hackers. O tribunal enfatizou que o simples vazamento de dados não configura automaticamente dano moral, sendo necessário demonstrar a violação da dignidade, honra ou imagem do titular dos dados. Adicionalmente, o tribunal considerou inviável a determinação de obrigação genérica cujo cumprimento não teve sua viabilidade demonstrada.

(b) Processo nº 1000598-51.2021.8.26.0405 [3]: a 25ª Câmara de Direito Privado do TJSP, em 30 de setembro de 2021, negou provimento ao recurso de apelação de um consumidor que teve seus dados pessoais vazados pela mesma empresa. O tribunal destacou que, apesar da falha na segurança do sistema, o autor não comprovou os prejuízos alegados, nem a violação à sua privacidade, intimidade ou honra. A decisão ressaltou que os dados vazados eram comuns e não sigilosos, e que a pretensão indenizatória se baseava em mera possibilidade de ocorrências danosas, insuficiente para gerar direito à reparação.

A jurisprudência do TJSP estabelece que ligações telefônicas inoportunas de operadoras de telefonia não configuram dano moral indenizável, a menos que se demonstre abuso, constrangimento, humilhação ou violação da intimidade do consumidor. Decisões das 27ª [4] e 33ª Câmaras de Direito Privado seguiram esse entendimento, negando provimento a recursos de autores que buscavam reparação por danos morais decorrentes de cobranças e ligações telefônicas indesejadas. Os acórdãos destacaram que as situações narradas pelos autores não ultrapassaram o mero dissabor, transtorno ou percalço do cotidiano, e que não houve comprovação de que as ligações partiram efetivamente da requerida. Assim, concluíram pela ausência de violação aos direitos da personalidade dos autores e da prática de ato ilícito por parte da empresa, o que ensejaria o dever de indenizar.

O posicionamento do STJ. Tanto o TJSP quanto o Superior Tribunal de Justiça (STJ) convergem na compreensão de que o dano moral não é presumido em todos os casos de vazamento de dados, sublinhando a necessidade de se provar o prejuízo efetivo ou considerar a natureza específica dos dados. O STJ, em suas decisões, adota uma postura restritiva, exigindo prova do dano efetivo e levando em conta o caráter sensível dos dados, conforme definido pela LGPD.

Um exemplo elucidativo dessa postura do STJ foi observado no julgamento pela 2ª Turma, em 15 de março de 2021 (AREsp 2130619 [5]). Nesse caso, uma cliente de uma concessionária de energia elétrica alegou que seus dados pessoais comuns foram vazados e utilizados por terceiros para fins eleitorais, buscando uma indenização por danos morais. O tribunal reformou a decisão do TJSP, entendendo que os dados vazados eram de natureza comum e não sensível, não havendo prova do dano efetivo causado à cliente. O STJ enfatizou que o rol de dados sensíveis previsto na LGPD é taxativo, exigindo a demonstração do prejuízo concreto decorrente da exposição dos dados.

Diante do cenário em constante evolução, a aplicação efetiva da LGPD demanda esforços da ANPD e do Poder Judiciário na resolução de questões controversas, como a prova do dano efetivo, a dosimetria das sanções, a harmonização entre decisões e a conscientização dos agentes de tratamento e da sociedade sobre os direitos e deveres previstos na legislação.

[1] Decisão da Coordenação-Geral de Fiscalização da autoridade foi exarada nos autos do processo administrativo sancionador nº 00261.001969/2022-41.

[2] TJSP, Apelação Cível nº 1000406-21.2021.8.26.0405. Relator Pedro Baccarat. Órgão Julgador: 36ª Câmara de Direito Privado. Data do Julgamento: 13/10/2021.

[3] TJSP; Apelação Cível nº 1000598-51.2021.8.26.0405. Relator: Marcondes D’angelo. Órgão Julgador: 25ª Câmara de Direito Privado; Data do Julgamento: 30/09/2021.

[4] TJSP; Apelação Cível 1011106-72.2019.8.26.0196; Relator (a): Daise Fajardo Nogueira Jacot; Órgão Julgador: 27ª Câmara de Direito Privado; Data do Julgamento: 26/05/2021.

[5] AREsp nº 2130619/SP, Rel. Min. Francisco Falcão, 2ª Turma, DJe de 10/03/2023.