Dosimetria da ANPD traz riscos e oportunidades para o setor farmacêutico

O Conselho Diretor da Autoridade Nacional de Proteção de Dados (ANPD) publicou no último dia 27 de fevereiro o Regulamento de Dosimetria e Aplicação de Sanções Administrativas (Res. CD 4/2023). O detalhamento das regras sancionatórias representa passo decisivo na trajetória de eficácia da Lei Geral de Proteção de Dados (LGPD). Com efeito, esse respaldo normativo dará maior robustez jurídica às penalidades aplicadas pela ANPD, reduzindo as chances de reversão por via judicial, o que deve intensificar a atuação do órgão. As empresas, portanto, devem acelerar os preparativos de adequação para fazer frente a esse desafio de conformidade.

Com o avanço da tecnologia digital, a importância dos dados para a economia das empresas, para a segurança nacional e para a vida pessoal de cada um de nós já se tornou senso comum. A avidez do mercado por essas informações, seu impacto sobre a privacidade das pessoas e as consequências de incidentes de vazamento levaram governos de diferentes países a refletir sobre a regulação do tratamento de dados pessoais. O expoente global de referência nessa regulamentação é o General Data Protection Regulation (GDPR) da União Europeia, inspiração principal da LGPD (Lei 13.709), promulgada ainda em 2018.

No setor farmacêutico, o tratamento de dados pessoais tem especial relevância. Isso se observa em aspectos comerciais do mercado, como a atuação planejada de forma inteligente a partir de informações por prestadores de análise avançada como a IQVIA. Mais importante talvez seja, ainda, o aspecto regulatório do setor que pode ser exemplificado, mais notoriamente, nas Notificações de Receita (“talonário”) exigidas para a dispensação de medicamentos sujeitos a controle especial, conhecidos como “medicamentos controlados” (art. 35 e ss., Portaria MS 344/1998).

A LGPD trouxe uma série de direito para titulares de dados, obrigações para aqueles que fazem uso deles (em geral, empresas) e penalidades para o descumprimento desses deveres. Entretanto, de modo a contemplar prazo razoável para que os agentes de tratamento de dados estivessem preparados para o seu cumprimento (art. 8°, Lei Complementar 95/98), a lei definiu, originalmente, vacatio de 18 meses. Como é comum no Brasil, esse termo de início foi postergado mais de uma vez (Medidas Provisórias 869/2018 e 959/2020, convertidas, respectivamente, nas Leis 13.853/2019 e 14.058/2020), dando aos incautos a impressão de que a lei “não pegaria”.

Não obstante, a última data definida para a vigência dos dispositivos da LGPD que estabelecem o aspecto sancionatório do sistema de proteção de dados pessoais brasileiro (artigos 52, 53 e 54 da LGPD) foi mantida (21 de agosto de 2021, nos termos da Lei 14.010/2020). Ainda assim, a operacionalização das penalidades permanecia incompleta, dada a ausência de tradição jurídica específica no tema (precedentes administrativos) e as amplas faixas de dosimetria indicadas pela Lei, com multa de “até R$ 50 milhões” e suspensão do exercício da atividade de tratamento dos dados pessoais por “até seis meses”, prorrogável por igual período.

Mais do que a incerteza da fórmula sancionatória adotada pela LGPD, o art. 53 da lei parece ter estabelecido condição suspensiva para a aplicabilidade das penalidades nela previstas. Com efeito, a lei indica que a ANPD deveria definir em “regulamento próprio sobre sanções administrativas”, “previamente publicado”, a metodologia para dosimetria das penalidades previstas. Não apenas isto, a LGPD orientou a atividade de regulamentação, exigindo a fundamentação detalhada de todos os elementos da métrica a ser definida.

O primeiro movimento da ANPD no sentido de normatizar sua sistemática sancionatória foi a Resolução CD 1/2018 que regulamentou, conjuntamente, o Processo de Fiscalização e o Processo Administrativo Sancionador no âmbito da Autoridade Nacional de Proteção de Dados. A Res. CD 1/2018 (art. 37 e ss.) leva em conta as orientações normativas da então recente reforma à Lei de Introdução ao Direito Brasileiro (Lei 13.655/2018 que alterou o Dec.-Lei 4.657/1942) e disciplinou detalhadamente diversos ângulos do procedimento administrativo sancionatório em matéria de proteção de dados: iniciativa (de ofício, em decorrência do processo de monitoramento e mediante requerimento – art. 37), princípios e critérios (art. 39, no que basicamente acompanha a Lei de Processo Administrativo Federal, Lei 9.784/1999, art. 2°), etapas (procedimento preparatório, fases de instauração, instrução, decisão, reconsideração, reexame necessário, recurso, cumprimento e revisão), possibilidade de celebração de Termos de Ajustamento de Conduta (artigos 43 e 44), dentre outros aspectos. Entretanto, a Res. CD 1/2018 não avançou no detalhamento da metodologia de dosimetria das sanções, fazendo referência a regulamentação futura, a ser expedida pela ANPD (art. 55, parágrafo único).

Portanto, para a operacionalização das penalidades previstas pela LGPD era indispensável a publicação de regulamento de dosimetria de sanções administrativas, o que veio à luz por meio da Res. CD 4/2023. Além de finalmente instrumentalizar as sanções para todos os agentes de tratamento de dados, a Res. CD 4/2023 definiu alguns impactos específicos sobre setores regulados, como o farmacêutico. Especialmente, o regulamento aponta para a possibilidade de interface sancionatória entre a ANPD e outras entidades reguladoras, como a Agência Nacional de Vigilância Sanitária (Anvisa) e a Secretaria Nacional do Consumidor (Senacon).

Um dos pilares de atuação da Autoridade Nacional de Proteção de Dados é a fiscalização, seja de ofício ou mediante provocação (denúncia). Nas hipóteses de aplicação das penalidades mais graves previstas pela LGPD (suspensão parcial do funcionamento de banco de dados, suspensão e proibição do exercício da atividade de tratamento de dados – art. 3°, incisos VII, VIII e IX da Res. CD 4/2023), a ANPD dará ciência às entidades reguladoras setoriais (no caso, à Anvisa e à Senacon) para que se manifestem sobre eventuais consequências da imposição das sanções para o exercício de atividades econômicas reguladas desenvolvidas pelo controlador dos dados. A notificação obrigatória de outras entidades reguladoras tem por propósito expresso a avaliação de impacto das sanções aplicadas pela ANPD sobre o setor regulado, mas implica, também, nesses casos, elevado risco de cumulação de sanções administrativas, além de agravamento do impacto reputacional de incidentes de vazamento de dados.

Por outro lado, a Res. CD 4/2023 apontou, também, o melhor caminho para a mitigação desse risco. Com efeito, o regulamento reforçou decisivamente a importância dos programas internos de conformidade em proteção de dados. Esse será o fiel da balança na avaliação de diversos dos parâmetros e critérios de dosimetria adotados pelo art. 7° da Res. CD 4/2023: a boa-fé do infrator (inc. II), a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados (inc. IX) e a adoção de política de boas práticas e governança (X).

Além disso, a adoção de programa de conformidade em proteção de dados representará, na qualidade de circunstância atenuante, dará direito a desconto de 20% sobre multas aplicadas pela ANPD, desde que implementado até a prolação da decisão de primeira instância no âmbito do processo administrativo sancionador (art. 13, inc. II, da Res. CD 4/2023). Ainda, se o programa se demonstrar capaz de mitigar os efeitos da infração sobre os titulares de dados pessoais afetados (art. 13, inc. III, da Res. CD 4/2023), a empresa que se vir em tais circunstâncias fará jus a nova atenuação de 20%, ambos os índices incidentes sobre o valor-base da multa (art. 14, da Res. CD 4/2023).

Nota-se, portanto, que o Regulamento de Dosimetria e Aplicação de Sanções Administrativas da LGPD aponta a dor e o afago dos agentes de tratamento de dados no novo contexto de uma ANPD efetivamente instrumentalizada. Os setores regulados serão especialmente afetados, principalmente o farmacêutico, dada a dependência comercial e regulatória em face do tratamento de dados pessoais. Por isso, investir em programas de conformidade em proteção de dados deixou de ser apenas um diferencial competitivo e deve representar uma necessidade premente para a indústria e demais elos do setor.