Fonte da Notícia: JOTA
Data da Publicação original: 09/03/2023
Publicado Originalmente em: https://www.jota.info/opiniao-e-analise/artigos/anpd-a-dosimetria-e-aplicacao-de-sancoes-administrativas-e-o-alerta-ao-mec-09032023

Daniel Cavalcante

Assessor Jurídico da ABRAFI

Finalmente foi publicado o tão aguardado Regulamento de Dosimetria e Aplicação de Sanções Administrativas pela Autoridade Nacional de Proteção de Dados (ANPD) previsto na Lei Geral de Proteção de Dados (LGPD), um marco importante sobre o tema no Brasil, objeto da Resolução CD/ANPD 4, de 24 de fevereiro de 2023.

A dosimetria publicada tem por objetivo estabelecer parâmetros e critérios para aplicação de sanções administrativas pela ANPD, bem como as formas e dosimetrias para o cálculo do valor-base das sanções de multa, viabilizando o reforço à atuação fiscalizatória da Autoridade. Dessa forma, a dosimetria, por meio dos critérios estabelecidos, irá direcionar a escolha da sanção adequada ao caso concreto de violação à LGPD e permite calcular o valor da multa quando aplicável.

O regulamento levará em consideração a gravidade e a natureza das infrações e dos direitos pessoais afetados, bem como os seguintes critérios: a boa-fé do infrator; a vantagem auferida ou pretendida pelo infrator; a condição econômica do infrator; a reincidência específica; a reincidência genérica; o grau do dano, a cooperação do infrator; a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados; a adoção de política de boas práticas e governança; a pronta adoção de medidas corretivas; e, a proporcionalidade entre a gravidade da falta e a intensidade da sanção.

Considerações que trazem à tona o alerta para todas as instituições de ensino, seja de educação básica ou ensino superior, que devem ter a atenção ao evidenciar todo processo e todas os controles implementados, tendo como objetivo demonstrar os esforços realizados em atenção à Lei Geral de Proteção de Dados.

A efetividade de um programa de privacidade impõe o conhecimento testado sobre todas as medidas aplicadas, por exemplo, não basta que a instituição tenha políticas de segurança da informação, normas de conduta e procedimentos sobre privacidade, esses documentos devem ser apresentados aos colaboradores, que devem ter seu conhecimento esclarecidos e testados, de forma a medir a maturidade sobre o tema dentro da instituição.

Dentro desse contexto, instituições de ensino superior devem estar atentas ao correto tratamento de dados pessoais sensíveis que possam passar desapercebidos, a exemplo dos dados de pacientes em cursos da área de saúde. Na educação básica não é diferente, pois a própria natureza dos dados sensíveis de crianças e adolescentes já necessita de uma acuidade e zelo que perpassa aquilo que é visível dentro do colégio.

Por outro lado, não bastassem as pesadas sanções administrativas previstas na lei e no regulamento, este também prevê que “a ANPD dará ciência ao principal órgão ou entidade reguladora setorial, com competências sancionatórias, a que se submete o controlador, durante a fase de instrução, para que se manifeste sobre eventuais consequências da imposição das sanções para o exercício de atividades econômicas reguladas desenvolvidas pelo controlador, especialmente na prestação de serviços públicos, assim como forneça outras informações que entender pertinentes.” Isso implica dizer que, em relação às instituições de ensino superior, além de das sanções previstas no regulamento, a ANPD poderá fazer o encaminhamento de expediente ao Ministério da Educação (MEC) em que informe a suspensão parcial do funcionamento do banco de dados a que se refere a infração aplicada, suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração aplicada e a proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.

Nesse caso, o MEC, na condição de entidade com competência regulatória e sancionatória, terá condições de instaurar procedimentos de supervisão em face da instituição, procedimento este que já existe no âmbito do ensino superior, conforme previsto no art. 62 do Decreto n. 9.235, de 15 de dezembro de 2017, que dispõe sobre o exercício das funções de regulação, supervisão e avaliação das instituições de educação superior e dos cursos superiores.

Na prática uma sanção decorrente da Autoridade Nacional de Proteção de Dados pode reverberar, de forma impactante, nos procedimentos de supervisão perante o Ministério da Educação. A regulamentação desse procedimento por intermédio do MEC pode ser realizada pela simples readequação da Portaria n. 315, de 4 de abril de 2018, que já traça os procedimentos de supervisão das instituições de ensino superior. Essa adequação certamente ocorrerá, sobretudo porque existe uma cooperação entre a ANPD e a CGU no sentido de orientar o alinhamento dos órgãos públicos na equalização dos procedimentos de proteção de dados pessoais.

Por outro lado, em face dessa nova orientação sobre a proteção de dados pela Autoridade brasileira, cabe ressaltar dois princípios trazidos pela LGPD que podem ser considerados demasiado importantes nesse instante: o princípio da transparência e o da prestação de contas. A instituição que tem como norte esses dois princípios tem o indivíduo como centro da relação, zelando pelo dever de informar o titular desses dados sobre como e porque seus dados são tratados. Já o princípio da prestação de contas, não só pelo dever frente às sanções, mas como consciência de que esses dados são individuais, faz com que a instituição de ensino deva se preocupar em manter os controles adequados, uma vez que pode responder por alguma violação que atinja os dados pessoais que estejam sob sua tutela.