Sanções aos entes públicos na LGPD: eficácia na era do digital
Área: Contábil Publicado em 30/08/2021
Foto: Divulgação Fonte: Conjur
https://www.conjur.com.br/2021-ago-29/publico-pragmatico-sancoes-aos-entes-publicos-lgpd-eficacia-digital
Os meses de julho e agosto deste ano foram de agrura tecnológica para o CNPq [1]. No que ficou conhecido como "apagão do CNPq", pesquisadores de todo país perderam acesso às informações disponibilizadas nas plataformas Lattes e Carlos Chagas, o que ocasionou atrasos no desenvolvimento de trabalhos científicos, processamento de editais, bolsas de estudos e prestação de contas de projetos financiados pelo governo.
Mesmo que o desfecho da história tenha sido amenizado com o restabelecimento de acesso a partes dos sistemas, o episódio — sem qualquer pretensão de fazer juízo de valor sobre o caso em si — enseja a colocação de alguns questionamentos quanto à exigência de boas práticas e governança para proteção de dados em entidades públicas. Por sua vez, a recente entrada em vigor das sanções administrativas da LGPD põe em perspectiva outro debate acerca da parametrização e eficiência do sistema sancionatório para os entes públicos que se recém inaugura.
O §3º do artigo 52 da LGPD estabelece que poderão ser aplicadas às entidades e aos órgãos públicos as sanções administrativas de: a) advertência, com indicação de prazo para adoção de medidas corretivas; b) publicização da infração após devidamente apurada e confirmada a sua ocorrência; c) bloqueio dos dados pessoais a que se refere a infração até a sua regularização; d) eliminação dos dados pessoais a que se refere a infração; e) suspensão parcial do funcionamento do banco de dados a que se refere a infração; f) suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração; e g) proibição parcial ou total do exercício de atividades relacionadas ao tratamento de dados.
Portanto, trata-se de um rol extenso de sanções administrativas, não se aplicando às entidades públicas apenas sanções de ordem pecuniária — a saber: a) multa simples, de até 2% do faturamento da pessoa jurídica; e b) multa diária, restrita às entidades privadas [2]. Em que pese a variedade de sanções, vale indagar em que medida essas penalidades são adequadas no âmbito da Administração Pública, no que tange à adesão dos entes públicos à conformidade com a LGPD.
As sanções previstas na LGPD foram desenhadas tomando como referencial o consentimento do titular de dados. As sanções gravitam em torno da ideia de tornar indisponível o dado para tratamento como penalidade para o abuso no tratamento, ou seja, o agente de tratamento obteve do titular aquele dado, seu modelo de negócio (ou o aprimoramento de seu negócio) baseava-se no tratamento daquele dado e, a partir do momento em que comete violações neste mister, ele perde o direito de proceder ao tratamento, seja pela exclusão daqueles dados, seja pela proibição do tratamento em si. Porém, a dinâmica do tratamento de dados por entes públicos é diversa.
As hipóteses que autorizam o tratamento de dados pessoais por entes públicos não se baseiam na manifestação de vontade do titular, mas, sim, na consecução do interesse público, para execução de políticas e serviços públicos, ou mesmo desempenho das atividades-fim da Administração Pública [3].
Ora, se a finalidade do tratamento é a persecução do interesse público, a sanção adequada para o abuso no tratamento de dados não deve ser sempre a proibição do tratamento de dados; quanto mais pelo fato de que as sanções pecuniárias não se aplicam à Administração Pública [4]. Isso porque, se o tratamento de dados pessoais for essencial ao desempenho da atividade administrativa, execução de políticas públicas, oferta de serviço público ou mesmo execução de contrato público, como poderia o ente público perder a capacidade de realizar tais operações de tratamento de dados pessoais, ainda que sua conduta tenha sido abusiva?
E, em se tratando de abuso nas atividades de tratamento de dados pessoais, quando se fala na esfera pública, se pode vislumbrar condutas violadoras de direitos dos titulares que não se referem a abusos na atividade-fim de tratamento, como, por exemplo, a precariedade de sistemas, lentidões de acesso, falhas de segurança, mas igualmente passíveis de gerar danos aos titulares na qualidade de administrados, com quem se tem o dever de uma Administração Pública moral e eficiente. E, mais uma vez, a proibição parcial, temporária, total ou definitiva de tratamento de dados pode não ser a solução para coibição de abusos no tratamento, quanto mais em se tratando de serviços públicos ou de interesse da coletividade.
Nesses termos, faz-se necessário repensarmos as sanções administrativas da LGPD sob uma ótica publicista para que, então, se adéque a conduta violadora à sanção que, mais do que capaz de fazer cessar a conduta, seja efetivamente capaz de coibi-la, sem fazer cessar, de inopinado, atividades administrativas ou a execução de políticas públicas essenciais à coletividade.
No mais, vale ressaltar que, entre as previsões dos artigos 32 [5] e 52 [6] da LGPD — uma norma que atribui à ANPD [7] capacidade de solicitar informações e recomendar boas práticas aos entes públicos, e uma norma que confere à ANPD poder de aplicar sanções —, nota-se a ausência de previsão quanto a participação ativa do órgão na definição dos princípios aplicáveis à Administração Pública digital, a fim de que respeite os compromissos relacionados ao respeito à liberdade de expressão e à privacidade.
O papel do agente regulador consistiria, portanto, em assegurar as condições de garantia do desenvolvimento da Administração Pública digital, reavaliando suas premissas constantemente, no que diz respeito à evolução da nossa sociedade no que toca às garantias e proteções frente ao tratamento de dados pessoais.
Avaliar e desenvolver a capacidade de desempenhar atividades administrativas e de executar políticas públicas no meio digital, conduzindo os agentes públicos através do difícil processo de mudança, garantindo o comprometimento dos entes públicos ao longo do caminho e gerenciando seus programas de trabalho, todas essas possibilidades podem se mostrar mais eficazes na era do digital. NULL Fonte: NULL
https://www.conjur.com.br/2021-ago-29/publico-pragmatico-sancoes-aos-entes-publicos-lgpd-eficacia-digital
Os meses de julho e agosto deste ano foram de agrura tecnológica para o CNPq [1]. No que ficou conhecido como "apagão do CNPq", pesquisadores de todo país perderam acesso às informações disponibilizadas nas plataformas Lattes e Carlos Chagas, o que ocasionou atrasos no desenvolvimento de trabalhos científicos, processamento de editais, bolsas de estudos e prestação de contas de projetos financiados pelo governo.
Mesmo que o desfecho da história tenha sido amenizado com o restabelecimento de acesso a partes dos sistemas, o episódio — sem qualquer pretensão de fazer juízo de valor sobre o caso em si — enseja a colocação de alguns questionamentos quanto à exigência de boas práticas e governança para proteção de dados em entidades públicas. Por sua vez, a recente entrada em vigor das sanções administrativas da LGPD põe em perspectiva outro debate acerca da parametrização e eficiência do sistema sancionatório para os entes públicos que se recém inaugura.
O §3º do artigo 52 da LGPD estabelece que poderão ser aplicadas às entidades e aos órgãos públicos as sanções administrativas de: a) advertência, com indicação de prazo para adoção de medidas corretivas; b) publicização da infração após devidamente apurada e confirmada a sua ocorrência; c) bloqueio dos dados pessoais a que se refere a infração até a sua regularização; d) eliminação dos dados pessoais a que se refere a infração; e) suspensão parcial do funcionamento do banco de dados a que se refere a infração; f) suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração; e g) proibição parcial ou total do exercício de atividades relacionadas ao tratamento de dados.
Portanto, trata-se de um rol extenso de sanções administrativas, não se aplicando às entidades públicas apenas sanções de ordem pecuniária — a saber: a) multa simples, de até 2% do faturamento da pessoa jurídica; e b) multa diária, restrita às entidades privadas [2]. Em que pese a variedade de sanções, vale indagar em que medida essas penalidades são adequadas no âmbito da Administração Pública, no que tange à adesão dos entes públicos à conformidade com a LGPD.
As sanções previstas na LGPD foram desenhadas tomando como referencial o consentimento do titular de dados. As sanções gravitam em torno da ideia de tornar indisponível o dado para tratamento como penalidade para o abuso no tratamento, ou seja, o agente de tratamento obteve do titular aquele dado, seu modelo de negócio (ou o aprimoramento de seu negócio) baseava-se no tratamento daquele dado e, a partir do momento em que comete violações neste mister, ele perde o direito de proceder ao tratamento, seja pela exclusão daqueles dados, seja pela proibição do tratamento em si. Porém, a dinâmica do tratamento de dados por entes públicos é diversa.
As hipóteses que autorizam o tratamento de dados pessoais por entes públicos não se baseiam na manifestação de vontade do titular, mas, sim, na consecução do interesse público, para execução de políticas e serviços públicos, ou mesmo desempenho das atividades-fim da Administração Pública [3].
Ora, se a finalidade do tratamento é a persecução do interesse público, a sanção adequada para o abuso no tratamento de dados não deve ser sempre a proibição do tratamento de dados; quanto mais pelo fato de que as sanções pecuniárias não se aplicam à Administração Pública [4]. Isso porque, se o tratamento de dados pessoais for essencial ao desempenho da atividade administrativa, execução de políticas públicas, oferta de serviço público ou mesmo execução de contrato público, como poderia o ente público perder a capacidade de realizar tais operações de tratamento de dados pessoais, ainda que sua conduta tenha sido abusiva?
E, em se tratando de abuso nas atividades de tratamento de dados pessoais, quando se fala na esfera pública, se pode vislumbrar condutas violadoras de direitos dos titulares que não se referem a abusos na atividade-fim de tratamento, como, por exemplo, a precariedade de sistemas, lentidões de acesso, falhas de segurança, mas igualmente passíveis de gerar danos aos titulares na qualidade de administrados, com quem se tem o dever de uma Administração Pública moral e eficiente. E, mais uma vez, a proibição parcial, temporária, total ou definitiva de tratamento de dados pode não ser a solução para coibição de abusos no tratamento, quanto mais em se tratando de serviços públicos ou de interesse da coletividade.
Nesses termos, faz-se necessário repensarmos as sanções administrativas da LGPD sob uma ótica publicista para que, então, se adéque a conduta violadora à sanção que, mais do que capaz de fazer cessar a conduta, seja efetivamente capaz de coibi-la, sem fazer cessar, de inopinado, atividades administrativas ou a execução de políticas públicas essenciais à coletividade.
No mais, vale ressaltar que, entre as previsões dos artigos 32 [5] e 52 [6] da LGPD — uma norma que atribui à ANPD [7] capacidade de solicitar informações e recomendar boas práticas aos entes públicos, e uma norma que confere à ANPD poder de aplicar sanções —, nota-se a ausência de previsão quanto a participação ativa do órgão na definição dos princípios aplicáveis à Administração Pública digital, a fim de que respeite os compromissos relacionados ao respeito à liberdade de expressão e à privacidade.
O papel do agente regulador consistiria, portanto, em assegurar as condições de garantia do desenvolvimento da Administração Pública digital, reavaliando suas premissas constantemente, no que diz respeito à evolução da nossa sociedade no que toca às garantias e proteções frente ao tratamento de dados pessoais.
Avaliar e desenvolver a capacidade de desempenhar atividades administrativas e de executar políticas públicas no meio digital, conduzindo os agentes públicos através do difícil processo de mudança, garantindo o comprometimento dos entes públicos ao longo do caminho e gerenciando seus programas de trabalho, todas essas possibilidades podem se mostrar mais eficazes na era do digital. NULL Fonte: NULL
