Quais são as competências da Autoridade Nacional de Proteção de Dados?

A Lei Geral de Proteção de Dados (LGPD) — Lei nº 13.709/2018 — adota um regime de tutela misto, à medida que salvaguarda não apenas interesses estritamente privados, mas também visa promover a proteção aos interesses de natureza pública — comum a todos os cidadãos. Nesta segunda esfera, encontramos a fundamentação para a possibilidade de responsabilização por meio de aplicação de sanções administrativas, em decorrência de violações à norma que sejam comprovadas por procedimento investigatório.

Entretanto, algumas competências podem ser correlatas à Autoridade Nacional e a outros órgãos e entidades da Administração Pública que também detenham competências afetas ao tema de proteção de dados. Ilustrativamente, tem-se o artigo 18, III, da Lei nº 13.709/2018 (LGPD) e o artigo 43, §3°, do Código de Defesa do Consumidor (CDC) — Lei nº 8.078/1990, ambos preveem o direito da correção dos dados pessoais por parte do titular e/ou consumidor. Por tal lógica, uma violação a tal direito, envolvendo relações consumeristas, geraria infrações aos dois dispositivos legais.

Diante dessa possibilidade de múltiplas infrações decorrentes de uma mesma ação, um importante fator que surge dessa análise relaciona-se à competência para a aplicação de sanções por tais transgressões correlatas aos normativos de proteção de dados pessoais e do direito do consumidor. Isto porque tais infrações evocam competências administrativas investigativas e sancionatórias por parte da Autoridade Nacional de Proteção de Dados (ANPD) e da Secretaria Nacional do Consumidor (Senacon) [1], respectivamente.

 Nesse sentido, o artigo 52, §2º, da LGPD defende a transversalidade da aplicação do regulamento de privacidade, na medida em que disciplina: "O disposto neste artigo não substitui a aplicação de sanções administrativas, civis ou penais definidas na Lei nº 8.078, de 11 de setembro de 1990, e em legislação específica". Ou seja, a previsão de sanções administrativas aplicáveis pela Autoridade Nacional não obsta que sejam efetuadas penalidades em outros contextos e por outros órgãos.

Inobstante tal reconhecimento das competências correlatas e da legitimidade de aplicação de sanções por outras esferas, a norma brasileira protetiva também destaca a exclusividade e prevalência da competência da Autoridade Nacional sobre as sanções previstas na LGPD, como se vê:

"Artigo 55-K. A aplicação das sanções previstas nesta Lei compete exclusivamente à ANPD, e suas competências prevalecerão, no que se refere à proteção de dados pessoais, sobre as competências correlatas de outras entidades ou órgãos da administração pública.
Parágrafo único. A ANPD articulará sua atuação com outros órgãos e entidades com competências sancionatórias e normativas afetas ao tema de proteção de dados pessoais e será o órgão central de interpretação desta Lei e do estabelecimento de normas e diretrizes para a sua implementação."

Além do mais, o referido dispositivo atribui à agência reguladora de proteção de dados a centralidade da interpretação da LGPD e do estabelecimento de normas e diretrizes para sua adequada implementação, estabelecendo que devem ser feitas articulações entre a ANPD e outros órgãos e entidades com competências normativas e sancionatórias correlatas em relação à temática.

Partindo para o contexto fático, em 22 de março de 2021, na busca por efetivar as articulações aspiradas pela Lei Geral, a Autoridade Nacional de Proteção de Dados e a Secretaria Nacional do Consumidor firmaram o Acordo de Cooperação Técnica nº 01/2021.

O objetivo do mesmo consiste em instituir um fórum permanente de comunicação entre ambos, com o intuito de facilitar o exercício de suas respectivas competências regulatória, fiscalizatória e punitiva. Para mais, o normativo referente à cooperação técnica propõe alguns escopos específicos, quais sejam: o intercâmbio de informações, a uniformização de entendimentos e a colaboração no tocante às ações fiscalizatórias e educativas, no campo da formação, capacitação e elaboração de pesquisas e estudos.

Segundo informações prestadas pela Autoridade Nacional em sede de requerimento de acesso à informação com base na LAI (Lei nº 12.527/2011) [2], atualmente a efetivação dessa cooperação entre a ANPD e a Senacon tem focado nesse intercâmbio de informações, sobretudo no que concerne a processos instaurados que tratem sobre casos comuns à proteção de dados e à relação de consumo.

Outrossim, a ANPD elucida que têm sido desenvolvidos projetos de canais para troca de informações entre a mesma e a Senacon, com o fim de desenvolver indicadores relevantes tanto para a proteção de dados quanto para a relação de consumo. Entretanto, não foram informados maiores detalhes sobre a identificação e o andamento desses projetos.

No mais, ambas as entidades confirmam que seguem mantendo diálogos para uniformizar entendimentos sobre a interpretação da Lei nº 13.709/2018 e sua interação com o Código de Defesa do Consumidor (CDC). Não obstante a brevidade das respostas às consultas ainda não permitam uma visualização mais profícua desse cenário de cooperação e tampouco viabilizem o acompanhamento contíguo dessas ações por parte da sociedade, deve ser ressaltada a relevância dessa interlocução entre essas duas esferas.

No campo das sanções administrativas, a Autoridade Nacional compreende que não há qualquer vedação à aplicação de sanções pelo mesmo fato perante órgãos administrativos distintos — como é o caso da ANPD e a Senacon, considerando que um mesmo fato poderá ter diversas repercussões no mundo jurídico uma vez que afetar distintos bens jurídicos protegidos pela lei. Mas ressalta a intenção de promover uma atuação coerente e harmônica do Estado a partir de articulações com outros órgãos e entidades com competências sancionadoras e normativas sobre a proteção de dados, conforme o parágrafo único do artigo 55-K da LGPD.

Inclusive, tal preceito dialoga com a proposta, para o Regulamento [3] de dosimetria e aplicações de sanções administrativas, de que a ANPD — em observância ao art. 52, §6º, II da LGPD [4]— consulte o órgão regulador setorial, com competências sancionatórias, a que se submete o controlador, antes de aplicar suas sanções. Tal disposição é prevista no artigo 3º, §2º, da referida minuta submetida à consulta pública:

"Artigo 3º. As infrações sujeitarão o infrator às seguintes sanções administrativas: (...)
 §2º Se for o caso, antes da aplicação das sanções de que trata o § 1º deste artigo, a autoridade competente conferirá prazo para a manifestação do principal órgão regulador setorial, com competências sancionatórias, ao qual se submete o controlador."

Assim, a relevância de que haja uma contínua e efetiva comunicação e articulação entre a Autoridade Nacional e a Senacon revela-se ainda mais quando observamos as sanções que já vêm sendo aplicadas, por esta, a grandes empresas que violaram a proteção de dados pessoais dos seus consumidores, inclusive no que toca ao compartilhamento ilegal e ao uso de dados sem consentimento.

Essa inteligência prática da Senacon, assim como a alta capilaridade dos órgãos de defesa ao consumidor pelo território brasileiro, em muito podem contribuir para o fomento aos canais de informação e à concretização da competência de fiscalização por parte da ANPD, sobretudo neste cenário inicial de ausência de regulamentações específicas e quadro reduzido de colaboradores. Todavia, quanto à atuação sancionatória, podem ainda pairar controvérsias nesse sentido, considerando a necessidade de recorrer à razoabilidade diante da possibilidade de aplicação de múltiplas sanções por conta de um mesmo fato.

Em verdade, em que pese este artigo tenha focado na Secretaria Nacional do Consumidor, estas reflexões levantadas aqui aplicam-se a diversos outros órgãos e entidades reguladoras setoriais. À vista disso, de fato é importante que haja diálogo, articulação, colaboração e uniformização de entendimentos, entre a ANPD e essas outras instituições especializadas, acerca de questões fiscalizatórias, educativas, sancionatórias, entre outros aspectos.

Isto porque a correspondência entre esses setores é capaz não somente de fortalecer a mudança de cultura da política de proteção de dados, como também de propiciar uma atividade harmônica da Administração Pública, de modo a evitar incoerências e irrazoabilidades. Nesse ínterim, no Relatório de Análise de Impacto Regulatório, fica perceptível que a ANPD tem considerado a expertise desses outros setores e utilizado variadas entidades administrativas, sobretudo agências reguladoras, como referências para abordar os parâmetros e critérios da LGPD.

 Ante o exposto, é no notório que, no Brasil, a fiscalização ao tratamento de dados pessoais vem sendo efetivada mediante diversas frentes e instituições, não se restringindo à Autoridade Nacional de Proteção de Dados. Portanto, é extremamente necessário que essa articulação e cooperação seja cada vez mais concretizada por meio de ações práticas, de modo que possa propiciar não somente uma frente de fiscalização mais ampla e conectada, mas também uma atuação coerente, coesa e razoável da Administração Pública como um todo, sobretudo quando a ANPD começar a aplicar sanções por violações à LGPD.

[1] Esta entidade estatal ligada ao Ministério da Justiça e da Segurança Pública detém as atribuições de fiscalizar e aplicar as sanções administrativas da Lei Federal n° 8.078/1990 — Código de Defesa e Proteção do Consumidor (CDC), com base no artigo 3°, X, do Decreto Presidencial n° 2.181/1997.

[2] A Lei nº 12.527/2011 — Lei de Acesso à Informação — regula o acesso a informações previsto no inciso XXXIII do artigo 5º, no inciso II do §3º do artigo 37 e no §2º do artigo 216 da Constituição Federal; altera a Lei nº 8.112, de 11 de dezembro de 1990; revoga a Lei nº 11.111, de 5 de maio de 2005, e dispositivos da Lei nº 8.159, de 8 de janeiro de 1991; e dá outras providências.

[4] Artigo 52. Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas nesta Lei, ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional:

(...) §6º As sanções previstas nos incisos X, XI e XII do caput deste artigo serão aplicadas: (...) II - em caso de controladores submetidos a outros órgãos e entidades com competências sancionatórias, ouvidos esses órgãos.

Kelly Oliveira de Araujo é advogada, sócia-fundadora do escritório Kelly Araújo Advocacia, sócia do escritório Felipe Santa Cruz Advogados Associados, especialista em Direito Público, mestranda em Direito Constitucional pela Universidade de Brasília (UnB) e ex-Diretora de Política Judiciária do Ministério da Justiça.

Anne Carolline Rodrigues da Silva Brito é advogada junto ao escritório Kelly Araújo Advocacia Estratégica (KA), mestre em Direito pela Universidade de Brasília (UnB) e pós-graduanda em LGPD, Privacidade e Proteção de Dados pela Escola Superior de Advocacia (ESA/OAB).

Quais são as atribuições da Autoridade Nacional de Proteção de Dados?

Quais são as sanções que podem ser aplicadas pela ANPD?

Quanto à Autoridade Nacional de Proteção de Dados?

Quais são os princípios da proteção de dados?