A Regulação Responsiva é um modelo regulatório que propõe uma maior inteligência regulatória, estabelecendo uma sinergia entre a punição e a persuasão. É diferenciada de outras estratégias de governança de mercado, tanto no que desencadeia uma resposta regulatória, quanto em qual será a resposta regulatória. A regulamentação eficaz deve atender aos diversos objetivos das empresas reguladas, associações industriais e indivíduos dentro delas. Os próprios regulamentos podem afetar a estrutura (por exemplo, o número de empresas na indústria) e podem afetar as motivações do regulado¹. [Tradução livre].

A regulação responsiva, modelo regulatório adotado pela Autoridade Nacional de Proteção de Dados (ANPD), baseia-se na ideia de que o regulador deve trabalhar em conjunto com o regulado, ao invés de simplesmente impor regulamentos. É “reconhecer que existem diversos instrumentos à disposição do regulador para promover a conformidade à lei e para conduzir os regulados à conformidade, e que cada instrumento deve ser utilizado conforme a resposta do regulado”².

Embora criada em 2018, a ANPD efetivamente iniciou suas atividades em 2020. É o órgão da administração pública federal responsável, dentre outras atribuições, por zelar, implementar e fiscalizar o cumprimento da Lei Geral de Proteção de Dados Pessoais (LGPD) no Brasil.

Cabe lembrar, em primeiro lugar, que os dispositivos da LGPD que tratam de sanções administrativas somente entraram em vigor em 1º de agosto de 2021. A ANPD pode aplicar, segundo o art. 52, após procedimento administrativo que possibilite a ampla defesa, as seguintes sanções administrativas:

I. Advertência, com indicação de prazo para adoção de medidas corretivas;
II. Multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
III. Multa diária, observado o limite total a que se refere o inciso II;
IV. Publicização da infração após devidamente apurada e confirmada a sua ocorrência;
V. Bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
VI. Eliminação dos dados pessoais a que se refere a infração;
VII. Suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;
VIII. Suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período;
IX. Proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.

O Regulamento do Processo de Fiscalização e do Processo Administrativo Sancionador no âmbito da Autoridade Nacional de Proteção de Dados foi aprovado pela Resolução CD/ANPD nº 1, de 28 de outubro de 2021, e estabelece os procedimentos de fiscalização e as regras a serem observadas no âmbito do processo administrativo sancionador pela ANPD.

Em 27 de fevereiro do corrente ano, a ANPD publicou o tão esperado Regulamento de Dosimetria e Aplicação de Sanções Administrativas³, que define os critérios aplicação de sanções administrativas àqueles que descumprem a Lei Geral de Proteção de Dados (LGPD).

Nos termos da Lei, a aplicação de sanções requer, ainda, criteriosa apreciação e ponderação de inúmeras circunstâncias, dentre as quais a gravidade e a natureza das infrações e dos direitos pessoais afetados, a condição econômica do infrator, o grau do dano, a cooperação do infrator, a adoção de política de boas práticas e governança e a pronta adoção de medidas corretivas⁴.

Nesse sentido, a autoridade é o órgão central que normatiza e fiscaliza o cumprimento da Lei, adotando como foco principal o conceito de regulação responsiva, para preservar a garantia dos regulados à ampla defesa e assegurar o devido processo legal.

Citando novamente o Art.52 da LGPD, em seu §1º: As sanções serão aplicadas após procedimento administrativo que possibilite a oportunidade da ampla defesa, de forma gradativa, isolada ou cumulativa, de acordo com as peculiaridades do caso concreto e considerados os seguintes parâmetros e critérios:

I. a gravidade e a natureza das infrações e dos direitos pessoais afetados;
II. a boa-fé do infrator;
III. a vantagem auferida ou pretendida pelo infrator;
IV. a condição econômica do infrator;
V. a reincidência;
VI. o grau do dano;
VII. a cooperação do infrator;
VIII. a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados, em consonância com o disposto no inciso II do § 2º do art. 48 desta Lei;
IX. a adoção de política de boas práticas e governança;
X. a pronta adoção de medidas corretivas; e
XI. a proporcionalidade entre a gravidade da falta e a intensidade da sanção.

A pirâmide da regulação responsiva é um modelo de apoio aos reguladores para que se alcancem os objetivos regulatórios. É uma maneira de visualizar e entender diferentes abordagens que influenciam o comportamento e procuram garantir o cumprimento de normas. A eficácia da regulação pode depender da combinação adequada das abordagens da pirâmide, em seus diferentes contextos.

A parte mais distintiva da teoria responsiva é sua ilustração pelas pirâmides regulatórias, as quais se destinam a responder quando se deve persuadir e quando se deve punir (BRAITHWAITE, 2008, p. 88). Em sua base encontram-se arranjadas as estratégias de persuasão. Progressivamente, à medida em que os reguladores enfrentem a resistência dos regulados, ocorre a escalada para os níveis mais crescentes de intervenção estatal até chegar ao topo da pirâmide. Também é crucial à possibilidade de retorno à base da pirâmide (justiça restaurativa) sempre que o agente repare os erros e corrija a sua conduta (BRAITHWAITE, 2006, p. 887 e BRAITHWAITE, 2011, p. 484-485)⁵.

A imagem abaixo, retirada do repositório⁶ da ENAP, traz a figura original citada anteriormente e livremente traduzida: 

Na figura abaixo⁷ é explicado, de acordo com a ANPD, como se dará o Processo Fiscalizatório. De forma simplificada, temos:

Note-se, acima, que existem diversos itens que podem amenizar o processo fiscalizatório: documentação coerente; registro efetivo do mapeamento de dados; políticas e termos de privacidade atualizados e de fácil entendimento; política de segurança da informação publicada e com ampla divulgação interna; dentre outras. Estas são boas práticas que podem (devem) ser seguidas e adotadas nas instituições que tratam dados pessoais, independente de processo fiscalizatório.

A regulação responsiva, nesse sentido, pode ajudar na promoção da inovação, permitindo que as empresas experimentem novas tecnologias e modelos de negócios, levando ao desenvolvimento de novos produtos e serviços e melhorando a qualidade, ao exigir padrões mais altos. De forma reflexa, há a melhoria na transparência ao estimular que as empresas divulguem mais informações sobre suas atividades de tratamento de dados pessoais.

Diversos são os desafios que se anunciam para o modelo regulatório adotado. A relação regulador/regulado necessita de um prévio conhecimento do negócio que está sendo fiscalizado, demandando uma equipe (bem maior que a atual da ANPD, em virtude da grande demanda) extremamente preparada e capacitada para avaliar e acompanhar, entendendo as nuances do negócio ao longo do processo fiscalizatório.

No fim, busca-se nesse modelo adotado pela ANPD (e que vem sendo adotado por outros agências fiscalizatórias no país) um procedimento baseado no processo de fomento a uma cultura de privacidade fundamentada no diálogo entre as partes, para que o titular dos dados, foco principal da lei, tenha seus direitos respeitados por todos os agentes de tratamento.

Referências

1- AYRES, I.; BRAITHWAITE, J. Responsive Regulation: Transcending the Deregulation Debate. New York: Oxford University Press, 1992.

2- Madruga, Fabrício. Coordenador Geral de Fiscalização da ANPD

3- https://www.gov.br/anpd/pt-br/assuntos/noticias/anpd-publica-regulamento-de-dosimetria/Resolucaon4CDANPD24.02.2023.pdf

4- Perguntas Frequentes ANPD (https://www.gov.br/anpd/pt-br/acesso-a-informacao/perguntas-frequentes-2013-anpd#:~:text=A%20ANPD%20foi%20criada%20pela,14%20de%20agosto%20de%202019)

5- Teoria responsiva da regulação em situações de crises hídricas: uma análise a partir da atuação da Agência Nacional de Águas na crise do rio Pardo, Natalia de Melo Lacerda; Patrick Thadeu Thomas

6- Modelos de conformidade regulatória: conceitos, aplicações e lições no Brasil. Evidência express. Policy brief, 2022

7- Relatório de análise de impacto regulatório: Construção do modelo de atuação fiscalizatória da ANPD para zelar, implementar e fiscalizar o cumprimento da Lei Geral de Proteção de Dados Pessoais

__________________

Sobre o autor

Franklin Jeferson dos Santos é técnico na Divisão de Integração e Gestão de Processos de Privacidade e Proteção de Dados do Serpro;

LLM: Data protection LGPD and GPDR, Data Protection and Privacy – Universidade de Lisboa;

Pós-graduado em LGPD – Legale;

Certificações: ABNT Lead Implementer 27701; EXIN DPO; Introduction to Cybersecurity CISCO; Gestor de Dados Serpro; Information Security & Privacy Risk Manager - Tiexames; Encarregado de Dados (Serpro).