a) Diagnóstico e Índice de Adequação à LGPD

De modo a esclarecer algumas das constantes dúvidas quanto à compatibilidade de órgãos governamentais aos padrões de conformidade da Lei Geral de Proteção de Dados (LGPD), o Governo Federal lançou um diagnóstico de adequação, em forma de questionário, que busca apurar o grau de simetria que os órgãos e entidades ligadas ao Governo Federal possuem frente à nova Lei.

Além disso, o Governo Federal, que já havia disponibilizado um Guia de Boas Práticas, elaborou uma série de Guias Operacionais que abordam temas específicos sobre a proteção de dados e que explicitam de maneira mais direta qual caminho a ser seguido pelos órgãos que buscam se adequar à Lei.

b) Publicação de Agenda Regulatória da ANPD para o biênio 2021-2022

A ANPD, por meio da Portaria nº 11 de 2021, tornou pública a agenda aprovada por seu Conselho Diretor, que vale ainda pelo próximo ano. A agenda traz o prazo previsto para o início do processo de regulamentação dos principais temas sob a responsabilidade do órgão.

Os Projetos de Regulamentação contidos no calendário são organizados em 3 fases distintas. A primeira fase tem previsão de início para os primeiros 12 meses do calendário, ao passo que a segunda fase para os 18 meses iniciais e, por fim, a terceira fase, com previsão de início até o fim de 24 meses.

Da mesma forma, também merece destaque a publicação do primeiro Regimento Interno da ANPD, através da Portaria n. 1 de 08 de março de 2021, a partir do qual é possível identificar características relevantes consideradas pela Entidade e, como consequência, será elevado o nível de segurança jurídica existente na relação entre a Autoridade e os fiscalizados.

c) ANPD publica Guia de orientação para agentes de tratamento

No dia 28 de maio de 2021, a Autoridade Nacional de Proteção de Dados (“ANPD”) publicou um “Guia Orientativo para Definições dos Agentes de Tratamento de Dados Pessoais e do Encarregado”, que estabelecem diretrizes não-vinculantes a tais agentes.

O documento busca explicar quem pode exercer a função do controlador, do operador e do encarregado, suas respectivas definições legais, os respectivos regimes de responsabilidade, bem como casos concretos que exemplificam as explicações.

d) Sanções da LGPD entraram em vigor no dia 1o de agosto de 2021

Em 1º de agosto de 2021 entraram em vigor os artigos da LGPD, que estabelecem a fiscalização e aplicação de sanções por parte da ANPD na esfera administrativa, por violações à LGPD. As sanções previstas pela Lei incluem advertências, multas, publicização da infração, bloqueio ou eliminação de dados pessoais a que se refere a infração, suspensão das atividades de coleta e tratamento, indenização pelos danos que causarem aos titulares dos dados, e até proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.

e) ANPD publica novo Guia de Segurança da Informação para Agentes de Tratamento de Pequeno Porte e o Regulamento do Processo de Fiscalização e do Processo Administrativo Sancionador

Em 04 de outubro de 2021, a ANPD publicou um Guia Orientativo de Segurança da Informação para Agentes de Tratamento de Pequeno Porte, bem como um checklist com as sugestões de medidas a serem adotadas. Ambos os documentos são endereçados aos agentes de tratamento que, em razão de seu tamanho e eventuais limitações, muitas vezes não contam com funcionários especializados em segurança da informação e necessitam aprimorá-la em relação ao tratamento de dados pessoais.

Outra Resolução importante foi publicada pela Autoridade menos de um mês depois do lançamento do Guia Orientativo. Em 29 de outubro de 2021, publicou-se a Resolução que aprova o Regulamento do Processo de Fiscalização e do Processo Administrativo Sancionador pelo Conselho Diretor da ANPD, através da Resolução CD/ANPD N° 1, que entrou em vigor no mesmo dia, e terá seu primeiro ciclo de monitoramento a partir de janeiro de 2022. O principal objetivo do Regulamento é estabelecer procedimentos inerentes ao processo de fiscalização, bem como as regras que devem ser observadas no âmbito do processo administrativo sancionador pela ANPD.

f) Decisões judiciais com base na LGPD

De acordo com o Painel de LGPD nos Tribunais, em um ano de vigência da LGPD, 274 decisões que efetivamente aplicaram a lei foram proferidas no judiciário brasileiro, ainda que a LGPD tenha sido mencionada como reforço a outras normas, como o Código de Defesa do Consumidor ou o Marco Civil da Internet, em 584 decisões neste período.

A maioria das sentenças proferidas em primeira instância aguardam decisão nas instâncias superiores, e os Tribunais ainda não se posicionaram a respeito de importantes temas e não é possível identificar uma orientação jurisprudencial consolidada.

em inglês

O instituto do Acordo de Leniência, no âmbito da Lei Anticorrupção, busca a reparação do dano causado ao erário e tem sido amplamente adotado pelas autoridades e empresas brasileiras. Dentre as obrigações comumente estabelecidas nos acordos de leniência, destacam-se as obrigações de pagamento de multa – conforme os parâmetros previstos na Lei Anticorrupção – e reparação integral do dano causado, bem como obrigações de implementação ou aprimoramento de programas de compliance, com a respectiva obrigação de monitoramento e reportes periódicos acerca da implementação e evolução dos mecanismos de compliance das empresas lenientes.

De acordo com informações públicas disponíveis no site do Ministério Público Federal (MPF), desde a vigência da Lei Anticorrupção, o Ministério Público Federal celebrou 42 acordos de leniência, dos quais 7 foram posteriormente aditados, alguns mais de uma vez, gerando uma restituição à União de R$ 24.522.039.740,00. A despeito da pandemia do novo coronavírus, o Ministério Público Federal celebrou 6 acordos de leniência em 2021, quantidade equivalente à do ano de 2017 –as negociações de 4 dos acordos tiveram início em 2019 e 2020 – e que resultaram na restituição de R$ 1.353.102.525,00 às entidades lesadas e cofres públicos.

Por sua vez, conforme balanço divulgado no site da Controladoria Geral da União (CGU), até dezembro de 2021, 17 acordos de leniência haviam sido celebrados com a CGU e Advocacia Geral da União (AGU) e 24 negociações se encontram atualmente em andamento. Os acordos celebrados com a CGU e a AGU estabelecem o pagamento de R$ 15.45 bilhões em multas, dos quais R$ 5.57 bilhões já foram pagos ao Tesouro Nacional ou às entidades estatais lesadas. Somente no ano de 2021, 5 novos acordos foram celebrados, totalizando R$ 1.772.573.132,13 em multas acordadas e correspondendo a 29% dos acordos já celebrados pelas entidades.

Em 2021, o MPF, CGU e a AGU celebraram acordos de leniência, com fulcro na Lei Anticorrupção e na Lei de Improbidade Administrativa, com empresas de distintos setores: (i) Rolls-Royce PLC (apenas com a CGU e AGU); (ii) Statkraft (apenas com a CGU e AGU); (iii) Amec Foster Wheeler (celebrado com a CGU, AGU e MPF); (iv) Sicpa e Ceptis (apenas com a CGU e AGU); (v) Samsung Heavy Industries (celebrado com a CGU, AGU e MPF); (vi) H. Strattner & CIA (apenas com o MPF); (vii) Aegea Engenharia e Comércio Ltda. (apenas com o MPF); (viii) Car Rental Systems do Brasil Locação de Veículos Ltda. e Hertz France S.A.S (apenas com o MPF); e (ix) JBJ Agropecuária Ltda. e Prima Foods S.A. (apenas com o MPF).

Como destaque, a multinacional Rolls-Royce celebrou acordo de leniência com a CGU e AGU em razão do pagamento de um total de US$ 9,3 milhões em vantagens indevidas, entre os anos de 2003 e 2013, por meio de terceiros intermediários para obtenção de contratos da Petrobras, que foram reveladas no contexto das investigações conduzidas pela Operação Lava Jato. O acordo de leniência com a CGU foi firmado no contexto da resolução global da Rolls-Royce realizada em 2017, quando foram celebrados, concomitantemente, acordos com o MPF, com o Departamento de Justiça dos Estados Unidos (DoJ) e com a Serious Fraud Office (SFO) do Reino Unido para a resolução de atos ilícitos praticados em diversos países, incluindo o Brasil, China, Indonésia, Rússia e Nigéria. O valor total do acordo de leniência firmado com a CGU é de US$ 27,8 milhões, dos quais US$ 2,2 milhões serão destinados aos cofres da União, de forma a complementar o pagamento de US$ 25,6 milhões que já foi efetuado no Brasil. Além disso, a empresa britânica se comprometeu a aperfeiçoar o seu programa de integridade.

Ademais, a Samsung Heavy Industries (SHI), também celebrou acordo de leniência com a CGU, AGU e MPF em razão de práticas de corrupção e lavagem de dinheiro cometidas no âmbito de contratos firmados com a Petrobras. O acordo de leniência foi resultado de uma resolução global envolvendo autoridades brasileiras e o DoJ. Não obstante tenha sido uma resolução global, o acordo da Samsung foi um acordo em duas etapas, uma vez que em novembro de 2019, a SHI já havia celebrado acordo (Deferred Prosecution Agreement) com o DoJ pelas mesmas condutas ilícitas. Nos acordos de leniência com as autoridades brasileiras, a SHI assumiu a obrigação de pagar o valor total de R$ 811.786.743,49, dos quais aproximadamente 37,5 milhões de dólares foram considerados como crédito da multa estabelecida pelo DoJ. Ademais, no âmbito do acordo de leniência, a SHI também assumiu a obrigação de aperfeiçoar as suas políticas e procedimentos de compliance e governança.

Similarmente, em junho de 2021, foram firmados acordos de leniência entre as empresas Amec Foster Wheeler Energy Limited e Amec Foster Wheeler America Latina, subsidiárias do grupo econômico John Wood Group PLC, e a CGU, a AGU e o MPF. Este acordo foi resultado de um trabalho em cooperação internacional e, portanto, acordos relacionados também foram celebrados com o DoJ, a Security Exchange Commission (SEC) dos Estados Unidos da América e o SFO. O acordo de leniência está relacionado às condutas ilícitas ocorridas no âmbito de um projeto firmado com a Petrobras, que se deu antes de a Amec PLC adquirir a Foster Wheeler AG em novembro de 2014, e antes da aquisição de ambas as empresas pela Wood em outubro de 2017. Dentro do escopo do acordo de leniência, as empresas se comprometeram a realizar o pagamento do valor total de R$ 86.196.063,32 milhões (US$ 17,492,149.14) no Brasil. As empresas também se comprometeram a pagar valores às autoridades americana e britânica.   Além do pagamento dos valores acordados, as subsidiárias do grupo Foster Wheeler se comprometeram a atualizar a aperfeiçoar suas políticas de governança e de compliance.

O acordo celebrado pela CGU e a AGU com as empresas Statkraft Energias Renováveis S.A. (Statkraft), Macaúbas Energética S.A., Seabra Energética S.A. e Novo Horizonte Energética S.A foi resultado de reporte espontâneo feito pela Statkraft às autoridades brasileiras em 2016, após realização de investigação interna. A Statkraft admitiu que, antes de assumir o controle da Desenvix Energias Renováveis S.A. em 2015, a Desenvix fez pagamentos ilegais para acelerar as aprovações de entidades públicas entre 2011 e 2014. Os ilícitos estão relacionados a recursos do Fundo Constitucional de Financiamento do Nordeste (FNE). Com a celebração do acordo, a empresa se comprometeu com o pagamento do valor de R$ 18,01 milhões. As empresas signatárias do acordo se comprometeram, ainda, a atualizar e aperfeiçoar suas políticas de governança e de integridade.

Por sua vez, o acordo celebrado pela Car Rental Systems do Brasil Locação de Veículos Ltda. e Hertz France S.A.S com o MPF em 2021 foi celebrado no contexto de uma resolução das empresas com todas as autoridades brasileiras, uma vez que em 2020 as empresas já haviam celebrado acordo de leniência com a CGU e a AGU. As informações sobre o acordo do MPF, no entanto, se encontram sob sigilo até a data da presente publicação.

Demais acordos celebrados com o MPF em 2021 também estão atualmente sob sigilo.

em inglês

Foi publicada em 23 de novembro de 2021 a nova resolução do Coaf que dispõe sobre procedimentos a serem observados, em relação a pessoas expostas politicamente (“PEP”), por aqueles que se sujeitam à supervisão do órgão. A Resolução nº 40/2021 do Coaf entrou em vigor em 1º de dezembro de 2021, revogando assim, a Resolução nº 29/2017 do Coaf.

A principal diferença da nova Resolução para a Resolução nº 29/2017 é a inserção de novos cargos na lista de PEPs definidas pelo Coaf. Agora passam a integrar a lista os membros do Conselho Nacional de Justiça, membros dos Tribunais Regionais, membros do Conselho Superior da Justiça do Trabalho e do Conselho da Justiça Federal, os membros do Conselho Nacional do Ministério Público, o Vice-Procurador-Geral da República, os Subprocuradores-Gerais da República e os Subprocuradores-Gerais do Ministério Público junto ao Tribunal de Contas da União. Passam também a integrar o rol os Secretários Municipais e os Presidentes, ou equivalentes, de entidades da administração pública indireta municipal.

Cabe lembrar que a Resolução explicita que não só as operações envolvendo PEPs devem ser analisadas com atenção, mas também aquelas envolvendo seus familiares, estreitos colaboradores e ou pessoas jurídicas de que participem.

Por fim, a Resolução nº 40/2021 traz como exemplo a relação de PEPs elaborada pela Controladoria-Geral da União (“CGU”) no Portal da Transparência como uma das bases de dados oficiais disponibilizadas pelo Poder Público para fins de identificação de pessoas expostas politicamente. Para mais informações, entre em contato com Saud Advogados.

em inglês

No dia 26 de outubro de 2021, após a sanção presidencial, sem vetos, do Projeto de Lei nº 2.505/2021, entrou em vigor a Lei nº 14.230/21, que altera substancialmente a Lei de Improbidade Administrativa (Lei nº 8.429/92). A nova Lei de Improbidade Administrativa, com a redação dada pela Lei nº 14.230/21, traz uma série de modificações, tanto de cunho material (relacionadas, por exemplo, a quem pode cometer atos de improbidade, quais as condutas que se enquadram como tal, as sanções e prazos prescricionais aplicáveis) quanto de cunho processual (como legitimidade para propositura da ação, duração do inquérito civil, alterações no procedimento processual, sucumbência, entre outros). Sem a pretensão de esgotar todas as inovações legislativas trazidas pela Lei nº 14.230/21, procuramos destacar alguns pontos que merecem maior atenção.

Dentre as principais alterações aprovadas, está a supressão da modalidade culposa do art. 10 da Lei nº 8.429/92 que trata dos atos de improbidade administrativa que causam lesão ao erário. Com o fim da modalidade culposa, uniformiza-se a exigência de comprovação de dolo para todos os tipos previstos na Lei de Improbidade Administrativa, sendo necessário demonstrar a efetiva intenção de alcançar o resultado ilícito para que agentes públicos sejam responsabilizados, conforme nova redação do art. 1, § 2º da Lei 8.429/92. Assim, danos ao erário causados por imprudência, imperícia ou negligência do agente público, que antes poderiam ser configurados como atos de improbidade na modalidade culposa, não mais poderão enquadrar-se como tal, embora sigam sujeitos às sanções pelos tribunais de contas e demais sanções de caráter administrativo. Ademais, citando expressamente a Convenção das Nações Unidas contra a Corrupção, resta claro que somente haverá ato de improbidade administrativa, seja ele tipificado na Lei de Improbidade ou em qualquer outra lei especial, quando for comprovado na conduta funcional do agente público o fim de obter proveito ou benefício indevido para si ou para outra pessoa ou entidade (art. 11, §1º e § 2º da Lei 8.429/92, com redação dada pela Lei nº 14.230/21).

A reforma da Lei de Improbidade transforma em taxativo o rol de condutas ímprobas. Assim, se a conduta não estiver elencada na lei, não poderá ser considerada como ato de improbidade administrativa a ensejar a condenação e aplicação de sanções previstas na Lei 8.429/92, com a nova redação dada pela Lei nº 14.230/21. Outro destaque é que o nepotismo (inclusive o cruzado), configurado pela nomeação de cônjuge, companheiro ou parentes até 3o grau para cargo em comissão, de confiança ou função gratificada no âmbito da administração pública direta ou indireta em qualquer das esferas de poder, foi incluído como ato de improbidade, em consonância com a súmula vinculante nº 13 do Supremo Tribunal Federal (STF) que já considerava tal prática inconstitucional.

Os agentes políticos (como, por exemplo, detentores de cargos eletivos) passam a constar de forma expressa na definição de agentes públicos (nova redação do art. 2º da Lei de Improbidade), estando assim igualmente sujeitos a responsabilização por atos de improbidade administrativa, além de se sujeitarem ao regime especial de responsabilização dos agentes políticos (Lei nº 1.079/50 e Decreto-Lei 201/67).

Ademais, a Lei de Improbidade continua sendo aplicável àqueles que, mesmo não sendo agentes públicos, induzam ou concorram dolosamente para a prática do ato administrativo. No entanto, o art. 3º, §1º, introduzido pela Lei nº 14.230/21 na Lei de Improbidade Administrativa, contempla previsão expressa no sentido de que sócios, cotistas, diretores e colaboradores de pessoa jurídica de direito privado não respondem pelo ato de improbidade que venha a ser imputado à pessoa jurídica, salvo se, comprovadamente, houver participação e benefícios diretos, respondendo nesse caso nos limites da sua participação.

Em matéria de compliance anticorrupção, caso o ato de improbidade administrativa seja também sancionado como ato lesivo à administração pública de que trata a Lei nº 12.846, de 1º de agosto de 2013, as sanções previstas na nova Lei de Improbidade não se aplicarão à pessoa jurídica, afastando-se assim expressamente qualquer tentativa de dupla penalização pelos mesmos fatos, em observância do princípio constitucional do ne bis in idem (art. 3º, §2º e art. 12, §7º acrescidos à da Lei de Improbidade pela Lei nº 14.230/21).

Outra interessante novidade nessa seara, se refere ao “acordo de não persecução civil” a ser celebrado com o Ministério Público no curso da investigação, da ação de improbidade ou no momento da execução da sentença condenatória, para fins de integral ressarcimento do dano e de reversão à pessoa jurídica lesada da vantagem indevida obtida. Dispõe o parágrafo §6º do art. 17-B que o referido acordo poderá contemplar a adoção de mecanismos e procedimentos internos de integridade, de auditoria e de incentivo à denúncia de irregularidades e a aplicação efetiva de códigos de ética e de conduta no âmbito da pessoa jurídica, se for o caso, bem como outras medidas em favor do interesse público e de boas práticas administrativas.

Quanto às sanções decorrentes do ato de improbidade administrativa,  a Lei nº 14.230/21 mantém como sanções possíveis, a serem aplicadas isolada ou cumulativamente, o ressarcimento integral do dano patrimonial (se efetivo), a perda de bens e valores acrescidos ilicitamente ao patrimônio, a perda da função pública, a suspensão dos direitos políticos, o pagamento de multa civil e a proibição de contratar com o poder público ou de receber benefícios ou incentivos fiscais ou creditícios (nova redação do art. 12 da Lei 8.429/92). A novidade é que o prazo máximo de suspensão dos direitos políticos passa de 8 (oito) anos para 14 (quatorze) anos e o de proibição de contratar com o poder público muda de 10 (dez) para 14 (quatorze) anos. Entretanto, o valor máximo das multas cai em todos os casos, sendo equivalente ao valor do acréscimo patrimonial no caso de atos de improbidade que importam enriquecimento ilícito (antes era de até três vezes tal valor), ao valor do dano no caso de atos de improbidade que causam prejuízo ao erário (antes era de até duas vezes tal valor) e até vinte e quatro vezes o valor da remuneração percebida pelo agente no caso de atos de improbidade que atentam contra os princípios da administração pública (antes era de até cem vezes tal valor).  Além disso, em regra, a perda da função pública apenas atingirá o cargo que o agente público exercia na época da prática do ato de improbidade.

No tocante ao prazo prescricional, a ação para a aplicação das sanções previstas na Lei de Improbidade passa a prescrever em 8 (oito) anos (e não mais em cinco anos como antes), contados a partir da ocorrência do fato ou, no caso de infrações permanentes, do dia em que cessou a permanência (nova redação do art. 23 da Lei 8.429/92). No entanto, permanecem imprescritíveis, nos termos do art. 37, §5º, da CRFB/88, as ações de ressarcimento ao erário em face de agentes públicos por atos de improbidade administrativa, conforme decisão do STF no julgamento do RE 852.475/SP, com repercussão geral reconhecida, não tendo a Lei nº 14.230/21, que modifica a Lei 8.429/92, adentrado em tal matéria.

Em relação às normas de natureza processual, ressalta-se umas das mais importantes alterações trazidas pela Lei 14.230/21 referente à legitimidade ativa para propor ações de improbidade administrativa. Pela nova redação do art. 17, caput, da Lei de Improbidade, o Ministério Público passará a ter legitimidade privativa para propositura de tais ações, ao contrário do que disposto no texto anteriormente em vigor, que previa a legitimidade concorrente do Ministério Público e da pessoa jurídica lesada. Diante de tal mudança, foi estabelecido o prazo de um ano, após a publicação da lei, para que o Ministério Público possa se manifestar sobre se tem ou não interesse na continuidade dos processos em andamento, inclusive em grau de recurso, ajuizados por advogados públicos (art. 3º da Lei nº 14.230/21). Durante tal período, os processos ficarão suspensos, sendo extintas sem resolução do mérito as ações de improbidade nas quais não haja manifestação ministerial.

Ademais, a ação de improbidade passa a seguir textualmente o procedimento comum previsto no Código de Processo Civil (art.17, caput da Lei 8.429/92 com a redação dada pela Lei nº 14.230/21), deixando de ser considerada uma espécie de ação civil pública. Foi também eliminada a fase de defesa prévia ao recebimento da petição inicial, passando os acusados por ato de improbidade a apresentarem sua defesa através de contestação no prazo comum de 30 (trinta) dias após a citação (art. 17, § 7º da Lei 8.429/92 com a redação dada pela Lei14.230/21).

Por fim, destacam-se ainda como novidades introduzidas pela Lei nº. 14.230/21 à Lei de Improbidade Administrativa: (i) tipificação da promoção pessoal de agentes públicos em atos, programas, obras, serviços ou campanhas dos órgãos públicos como improbidade administrativa (nova redação do art. 11, inciso XII da Lei 8.429/92); (ii) aumento do prazo de duração de inquérito civil para apuração de ato de improbidade administrativa para um ano (antes o prazo era de 180 dias), prorrogável por mais uma única vez (nova redação do art. 23, § 2º da Lei 8.429/92); (iii) a condenação em honorários de sucumbência será aplicada apenas para casos de comprovada má-fé (nova redação do art. 23-B, § 2º da Lei 8.429/92); (iv) não poderá ser punido como improbidade, a ação ou omissão decorrente de divergência na interpretação da lei (nova redação do art. 1º, § 8º da Lei 8.429/92).; (v) para atos de improbidade administrativa que atentam contra os princípios da administração pública será exigida a comprovação de dano relevante para que sejam passíveis de sanção (nova redação do art. 11, § 4º da Lei 8.429/92).

A repercussão das alterações trazidas pela Lei nº 14.230/21 à Lei nº 8.429/92, inclusive quanto à retroatividade das regras mais benéficas, certamente exigirá intervenção dos tribunais superiores a fim de uniformizar o tratamento da matéria nesse ponto.

Para mais informações, entre em contato com Saud Advogados.

em inglês

Em 04 de outubro de 2021, a Autoridade Nacional de Proteção de Dados (“ANPD”) publicou um Guia Orientativo de Segurança da Informação para Agentes de Tratamento de Pequeno Porte, bem como um checklist com as sugestões de medidas a serem adotadas. Ambos os documentos são endereçados aos agentes de tratamento que, em razão de seu tamanho e eventuais limitações, muitas vezes não contam com funcionários especializados em segurança da informação e necessitam aprimorá-la em relação ao tratamento de dados pessoais.

Os novos documentos desenvolvidos pela ANPD estão em linha com o art. 55-J, XVIII da LGPD, que determina a edição de normas, orientações e procedimentos simplificados e diferenciados para microempresas e empresas de pequeno porte, bem como para empresas que se declarem startups ou de inovação, a fim de não só facilitar, como incentivar o cumprimento da lei por essas empresas. Ademais, o Guia também busca proteger não só o direito dos titulares dos dados pessoais, levando em conta o risco aplicado ao tratamento e o dano que um possível vazamento dos dados pode vir a causar, mas também o alto impacto financeiro aos agentes de tratamento de pequeno porte em caso de violações as diretrizes da LGPD.

Guia Orientativo de Segurança da Informação busca atender ao Princípio da Segurança, previsto no Art. 6º, VII da LGPD, que consiste na utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados ou ilícitos. Mais especificamente, a Lei estabelece em seus artigos 46 a 49 que os agentes de tratamento devem: (i) garantir a segurança da informação dos dados pessoais, mesmo após o término de seu tratamento; (ii) comunicar incidentes de segurança à Autoridade Nacional e ao titular dos dados; e (iii) possuir sistemas de segurança estruturados de acordo com os padrões de boas práticas e governança e aos princípios gerais da Lei.

Assim, o Guia traz sugestões de medidas de segurança da informação capazes de promover, em agentes de tratamento de pequeno porte, um ambiente institucional mais seguro. Tais medidas foram divididas em:

  • medidas administrativas;
  • medidas técnicas;
  • medidas relacionadas ao uso de dispositivos móveis; e
  • medidas relacionadas ao serviço em nuvem.

Dentre as medidas administrativas destaca-se a elaboração de uma Política de Segurança da Informação, que tem como propósito fundamental ser uma ferramenta que apoie a implementação de um processo estruturado de segurança da informação, considerando o negócio e o porte de cada organização. Além disso, é mencionada a importância de campanhas de conscientização e treinamento dos funcionários dos agentes de tratamento, bem como a inclusão de cláusulas de segurança da informação que assegurem a adequada proteção de dados pessoais em contratos relevantes.

Já as medidas técnicas incluem controles de acesso, de forma a garantir que os dados pessoais apenas serão acessados por pessoal autorizado; garantir que apenas os dados pessoais estritamente necessários para o cumprimento da finalidade estão sendo tratados, e a segurança das comunicações, por meio do gerenciamento do tráfego de rede. Também inclui manutenção de um programa de gerenciamento de vulnerabilidades, mantendo seus sistemas e aplicativos sempre atualizados com as últimas versões e adoção de antivírus.

As medidas relacionadas ao uso de dispositivos móveis são similares aos procedimentos de controle de acesso dos outros equipamentos de TI, bem como o uso da autenticação multi-fator, funcionalidades que permitam apagar remotamente os dados pessoais no aparelho, guardá-los em locais seguros quando não estiverem em uso e que haja uma separação entre os dispositivos móveis de uso privado e de uso institucional.

Por fim, considerando a crescente disseminação do uso da nuvem para armazenamento de dados, a ANPD sugere a realização de um contrato de nível de serviço que contemple a segurança dos dados armazenados e a avaliação de se o serviço fornecido pelo provedor atende aos requisitos definidos pelo agente de tratamento.

É importante pontuar que essas medidas sugeridas não são taxativas e devem ser complementadas com outras que possam ser identificadas como necessárias para promover a segurança no fluxo informacional da organização.

Cabe frisar que diversos temas importantes no que se refere a aplicação da LGPD para agentes de tratamento de pequeno porte ainda devem ser regulamentados por meio de Resolução da ANPD, cuja minuta ficou aberta a consulta pública até o dia 14 de outubro de 2021. No momento, aguarda-se a consideração pela Autoridade Nacional de todas as contribuições recebidas e emissão da versão oficial da Resolução.

No entanto, outra Resolução importante foi publicada pela Autoridade menos de um mês depois do lançamento do Guia Orientativo. Em 29 de outubro de 2021, publicou-se a Resolução que aprova o Regulamento do Processo de Fiscalização e do Processo Administrativo Sancionador pelo Conselho Diretor da ANPD, através da Resolução CD/ANPD N° 1, que entrou em vigor no mesmo dia, e terá seu primeiro ciclo de monitoramento a partir de janeiro de 2022. O principal objetivo do Regulamento é estabelecer procedimentos inerentes ao processo de fiscalização, bem como as regras que devem ser observadas no âmbito do processo administrativo sancionador pela ANPD.

Dessa forma, dentre as novas regras, alguns pontos importantes a frisar da nova Resolução são:

  • a contagem dos prazos no processo administrativo, que serão contados em dias úteis, excluindo o dia do começo e incluindo o dia do vencimento;
  • os meios pelos quais os atos administrativos serão praticados, incluindo a intimação, sendo preferencialmente realizados de forma eletrônica;
  • as premissas da fiscalização da Autoridade Nacional, que consistem em (i) priorizar a atuação baseada em evidências e riscos regulatórios, com foco e orientação para o resultado; (ii) estímulo à conciliação direta entre as partes e priorização da resolução do problema e da reparação de danos pelo controlador; (iii) exigência de mínima intervenção na imposição de condicionantes administrativas ao tratamento de dados pessoais; (iv) incentivo à responsabilização e prestação de contas pelos agentes de tratamento, (v) atuação de forma responsiva, com a adoção de medidas proporcionais ao risco identificado e à postura dos agentes regulados, entre outras;
  • do processo de recebimento de requerimentos, que além de considerar seus requisitos de admissibilidade também deverá verificar se a petição do titular vem acompanhada de comprovação de que foi previamente submetida ao controlador e não solucionada no prazo estabelecido em regulamentação;
  • as possibilidades de atividades de orientação e preventivas que poderão ser aplicadas pela Autoridade Nacional, incluindo sugestão de treinamentos, implementação de Programa de Governança em Privacidade e elaboração de plano de conformidade;
  • Coordenação-Geral de Fiscalização responsável pelo julgamento em primeira instância e possibilidade de interposição de recurso administrativo ao Conselho Diretor, como instância administrativa máxima; e
  • possibilidade de celebração de Termo de Ajustamento de Conduta, que uma vez assinado causará a suspensão do processo.

Clique aqui para acessar o Guia e o Checklist de Segurança da Informação para Agentes de Tratamento de Pequeno Porte e aqui para acessar a Resolução CD/ANPD N° 1.

Para mais informações, entre em contato com Saud Advogados.

em inglês

Em 25 de outubro de 2021, a multinacional Rolls-Royce celebrou acordo de leniência com a Controladoria-Geral da União (CGU) e Advocacia-Geral da União (AGU) em razão do pagamento de vantagens indevidas por meio de terceiros intermediários para obtenção de contratos da Petrobras, que foram reveladas no contexto das investigações conduzidas pela Operação Lava Jato.

Dois delatores da Operação Lava Jato declararam que a Rolls-Royce pagou um total de US$ 9,3 milhões em propinas entre 2003 e 2013 para obter contratos de equipamentos de geração de energia para seis plataformas de petróleo da Petrobras.

O acordo de leniência com a CGU foi firmado no contexto da resolução global da Rolls-Royce com autoridades brasileiras, americanas e britânicas. Em 2017, a Rolls-Royce celebrou, concomitantemente, acordos com o Ministério Público Federal (MPF), com o Departamento de Justiça dos Estados Unidos (DOJ) e com a Serious Fraud Office (SFO) do Reino Unido para a resolução de atos ilícitos praticados em diversos países, incluindo o Brasil, China, Indonésia, Rússia e Nigéria.

O valor total do acordo de leniência firmado com a CGU é de US$ 27,8 milhões, dos quais US$ 2,2 milhões serão destinados aos cofres da União, em até 30 dias após a assinatura do acordo, de forma a complementar o pagamento de US$ 25, 6 milhões que já foi efetuado no Brasil. Além disso, a empresa britânica se comprometeu a aperfeiçoar o seu programa de integridade.

CGU e AGU, ao assinar este acordo, reforçam sua competência em matéria de leniência, ao estabelecer valores adicionais àqueles já pagos anteriormente em decorrência de acordo com o MPF.

Para mais informações, entre em contato com Saud Advogados.

em inglês

Em junho, a Controladoria-Geral da União (CGU) e a Advocacia-Geral da União (AGU) assinaram dois novos acordos de leniência.

O primeiro, assinado em 7 de junho de 2021, envolveu as companhias Sicpa do Brasil e Indústria de Tintas e Sistemas Ltda. e com a Ceptis Indústria e Comércio de Tintas e Sistemas S.A, devido ao pagamento de vantagens indevidas a agente público entre os anos de 2009 e 2015. Nos termos do acordo, as empresas, que pertencem ao mesmo grupo econômico, se comprometeram a devolver R$ 762 milhões aos cofres públicos, que serão integralmente destinados à União e à Casa da Moeda.

O pagamento a Casa da Moeda se relaciona ao fato das companhias terem sido alvo da Operação Vícios, da Policia Federal, que apontou o pagamento de propina a um auditor fiscal da Receita Federal para que ele direcionasse um contrato bilionário da Casa da Moeda, em 2008, de modo a favorecer as empresas. O valor inclui multas previstas na Lei Anticorrupção e na Lei de Improbidade Administrativa, além do ressarcimento pelo prejuízo causado.

Após as investigações internas apontarem a prática das irregularidades, o próprio grupo empresarial buscou as autoridades com o objetivo de negociar a leniência. Além do pagamento da multa, nos termos do acordo, as empresas se comprometem a aprimorar seus respectivos programas de integridade.

Já o segundo acordo de leniência foi celebrado em 25 de junho pelas companhias Amec Foster Wheeler Energy Limited e Amec Foster Wheeler America Latina, subsidiárias do grupo econômico John Wood Group PLC. Além da CGU e AGU, este acordo foi resultado de um trabalho em cooperação internacional e, portanto, acordos relacionados também foram celebrados com o Ministério Público Federal (MPF), o Departamento de Justiça Norte-Americano (DoJ), a Security Exchange Comission (SEC) dos Estados Unidos da América e o Serious Fraud Office do Reino Unido (SFO). Anteriormente, apenas a TechnipFMC havia obtido um acordo global, em 2019.

O acordo de leniência está relacionado às condutas ilícitas ocorridas no âmbito de um projeto firmado com a Petrobras, que se deu antes de a Amec PLC adquirir a Foster Wheeler AG em novembro de 2014, e antes da aquisição de ambas as empresas pela Wood em outubro de 2017.

Dentro do escopo do acordo de leniência, as empresas se comprometeram a realizar o pagamento do valor total de R$ 86.196.063,32 milhões (US$ 17.492.149,14) no Brasil. O montante corresponde a soma entre ressarcimento a Petrobras, multa pela violação à Lei de Improbidade Administrativa e a multa pela violação à Lei Anticorrupção, sendo: (i) R$ 67.273.820,43 destinados à Petrobras; (ii) R$ 13.454.764,11 correspondentes à multa prevista na Lei de Improbidade Administrativa, e (iii) R$ 5.467.478,78 relativos à multa prevista na Lei Anticorrupção, que serão revertidos para a União. As empresas também deverão pagar valores às autoridades americana e britânica.[1] Cabe ressaltar que a cooperação efetiva da Wood nas investigações foi considerada para na análise do crédito recebido das autoridades.

Assim como no acordo de leniência celebrado com a Sicpa, além do pagamento dos valores acordados, as subsidiárias do grupo Foster Wheeler se comprometeram a atualizar a aperfeiçoar suas políticas de governança e de compliance.

A íntegra dos acordos ainda não foi publicada pelas autoridades brasileiras, mas o acordo celebrado com o DoJ está disponível aqui e com a SFO pode ser encontrado aqui.

em inglês

 

 

[1] O Deferred Prosecution Agreement (DPA) das empresas com o DoJ estabelece o pagamento de multa no valor total de USD 18.375.000,00, dos quais US$ 7.656.250,00 são devidos ao tesouro americano; US$ 6.125.000,00 serão direcionados ao pagamento das multas às autoridades brasileiras, e US$ 4.593.750,00 ao pagamento da multa à autoridade britânica, conforme a resolução de seus respectivos acordos. Além dos US$ 4.593.750,00 cedidos pela autoridade americana, o DPA firmado com a autoridade britânica. SFO, estabelece ainda o pagamento de £46.033.891,98 ao fundo consolidado britânico a título de multa, e quase £ 50.000.000,00 como restituição de valores, além de restituição de £210.610,00 à Nigéria por violações cometidas no país.

Aprovada em 2018, a Lei Geral de Proteção de Dados (LGPD), Lei nº 13.709/2018, passou por um fatiamento até sua vigência integral. No mesmo ano em que foi publicada a Lei, a parte referente à organização da Agência Nacional de Proteção de Dados (ANPD) entrou em vigor por conta da necessidade de se estruturar o órgão fiscalizador. O restante da legislação passou a vigorar em setembro de 2020, enquanto apenas a aplicabilidade de multas entrou em vigor apenas no dia de agosto de 2021. Nessa mesma data, a Portaria nº 16/2021 entrou em vigor, aprovando o processo de regulamentação no âmbito da ANPD.

Portanto, os artigos referentes às sanções administrativas, Artigos 52, 53 e 54 da LGPD, passaram a ter efeito e contemplam desde penalidades leves, como advertência, até mais graves, como a proibição total do exercício de atividades relacionadas a tratamento de dados. No entanto, espera-se ainda a edição de um regulamento próprio da ANPD sobre o tema, contendo regras procedimentais internas para orientar suas ações. Além desse regulamento, ainda será submetido à consulta púbica uma norma específica para tratar das sanções e dosimetria.

Ainda que a LGPD tenha passado a ter vigência completa e integral apenas em agosto, já podemos sentir o seu impacto em decisões judiciais, visto que o titular de dados ganhou poder para demandar sua proteção, como é o caso do Artigo 42 da LGPD, que dispõe sobre reparação por danos patrimoniais e morais.

Dessa forma, o Sindicato dos Trabalhadores nas Indústrias de Alimentação de Montenegro, RS, moveu ação coletiva em face da Cooperativa dos Citricultores Ecológicos do Vale do Cai Ltda. em nome dos trabalhadores da cooperativa, cujo objeto era o alegado o descumprimento sistemático relativo à proteção de dados dos funcionários por parte da cooperativa, alegando que a Ecocitrus os compartilhava com diversos controladores e operadores sem as cautelas necessárias, além de afirmar não haver indicação do encarregado, todas essas, exigências da LGPD.

De acordo com a sentença proferida pela Justiça do Trabalho do Rio Grande do Sul, a cooperativa falhou em demonstrar elementos que comprovassem a capacidade de tratar dados dos funcionários com segurança, ou seja, de ter implementado corretamente as diretrizes da LGPD. Portanto, o Juízo determinou que a Ecocitrus nomeasse um encarregado, implementasse e comprovasse nos autos as práticas relacionadas à segurança e sigilo de dados.

Por sua vez, o Juízo não deferiu o pedido de danos morais com base no Artigo 52 da LGPD, com a justificativa de que o fato de a empresa não ter implementado os comandos legais não faz reconhecer, por si só, a efetiva ocorrência de dano aos titulares dos direitos, uma vez que de acordo com a decisão inexistia de fato demonstração de vazamento de dados ou outra utilização ilícita capaz de afetar a esfera de privacidade/dignidade dos trabalhadores.

Por outro lado, a ação movida pelo sindicato em face da JBS Aves Ltda. em nome dos trabalhadores da empresa nesse mesmo sentido, foi julgada improcedente, entendendo que a empresa havia um encarregado determinado e manual de privacidade de dados.

Dessa forma, essas duas ações reiteram a necessidade das empresas brasileiras de adequação à LGPD. Ademais, a adequação aos padrões estabelecidos pela LGPD não deve ser vista como mero cumprimento de uma legislação, visto que pode também fortalecer a confiança de clientes, fornecedores e parceiros de negócios, uma vez que, por exemplo, empresas tendem a buscar parceiros com uma maturidade em relação a proteção de dados, visto que operador e colaborador podem responder solidariamente a fim de assegurar a efetiva indenização do titular de dados, com base nos Artigos 42 ao 45 da LGPD.

Destaca-se ainda que, a melhoria de estruturas internas com a implementação de processos para proteção de dados, pode significar a manutenção de imagem da empresa. A aplicação de uma sanção devido a eventual infração, como no caso da Ecocitrus perante a Justiça do Trabalho, pode significar um dano reputacional, o que pode levar a perda de negócios, e consequentemente afetar o lucro da empresa.

em inglês

Desde sua promulgação em 2018 e considerando que, desde 1º de agosto de 2021, as empresas devem obrigatoriamente aplicar e estar em conformidade com as disposições da Lei nº 13.709/2018, a Lei Geral de Proteção de Dados (LGPD), para evitar sanções as empresas vêm enfrentando o desafio de se adaptar aos padrões exigidos pela LGPD, inclusive considerando os custos da implementação de um programa de proteção de dados.

Nessa esteira, em 08 de julho de 2021, a Justiça Federal de Campo Grande proferiu uma sentença determinando que as despesas com a implementação das diretrizes da LGPD comprovadas pelas impetrantes, TNG Comercio de Roupas Ltda. e TB Indústria e Comércio de Confecção de Roupas Ltda., fossem consideradas como insumos, além de reconhecer o direito das impetrantes de realizar a compensação dos valores pagos a maior com os débitos de sua responsabilidade, após o trânsito em julgado da sentença.

A justificativa da decisão para que os custos com a implementação das diretrizes da LGPD fossem reconhecidos como insumos para fins de compensação de créditos para o PIS/COFINS foi baseada nos Artigo 3º, II, da Lei nº 10.637/2002 e o Artigo 3º, II da Lei nº 10.833/2003, que determinam que do valor apurado para a contribuição para o COFINS e PIS, respectivamente, poderão ser descontados créditos pela pessoa jurídica em relação a:

“II – bens e serviços, utilizados como insumo na prestação de serviços e na produção ou fabricação de bens ou produtos destinados à venda, inclusive combustíveis e lubrificantes, exceto em relação ao pagamento de que trata o art. 2º da Lei nº 10.485, de 3 de julho de 2002, devido pelo fabricante ou importador, ao concessionário, pela intermediação ou entrega dos veículos classificados nas posições 87.03 e 87.04 da TIPI; (…)”

Não obstante nenhuma das duas leis mencionadas acima definir o que pode ser considerado como insumo para aproveitamento no sistema da não-cumulatividade de PIS e COFINS, considerou-se o entendimento da jurisprudência para entender a definição de insumos. O STJ, no REsp Repetitivo nº 1.221.170/PR (Temas 779 e 780), firmou que o conceito de insumo deve ser verificado de acordo com os critérios de essencialidade ou relevância. Ou seja, deve ser considerada a imprescindibilidade e importância do bem ou serviço para o desenvolvimento da atividade econômica desempenhada pela empresa.

No julgado do STJ, o termo essencialidade foi definido como “o item do qual dependa, intrínseca e fundamentalmente, o produto ou o serviço, constituindo elemento estrutural e inseparável do processo produtivo ou da execução do serviço, ou, quando menos, a sua falta lhes prive de qualidade, quantidade e/ou suficiência” e a relevância seria “qualidade identificável no item cuja finalidade, embora não indispensável à elaboração do próprio produto ou à prestação do serviço, integre o processo de produção, seja pelas singularidades de cada cadeia produtiva”.

Dessa forma, com a admissão desse conceito de insumo, a Justiça Federal de Campo Grande reconheceu, que o investimento em proteção de dados é obrigatório, considerando inclusive que há aplicação de sanções a quem infringir a norma. O Juízo entendeu que o tratamento dos dados pessoais não fica a critério do empresário e que, portanto, os custos são necessários e imprescindíveis para o alcance dos objetivos comerciais.

Os investimentos para adequação são muitos, considerando, por exemplo, a implementação de sistemas e processos para identificação de falhas, criação de canal de comunicação com o titular dos dados, realização de treinamentos internos sobre o tema, contratação de funcionários especializados em proteção de dados, incluindo um Data Protection Officer, entre outros. Todos esses custos são essenciais para evitar potenciais danos aos titulares, como vazamento de dados, e total conformidade com a legislação.

Destaca-se que, ainda que exista a referida jurisprudência, é necessário que empresas ingressem em juízo para reconhecimento do direito ao crédito de insumos para PIS e COFINS. Atualmente, a Receita Federal aplica de forma limitada o conceito de insumo e cabe a empresa interessada comprovar judicialmente a essencialidade e relevância dos gastos.

Em síntese, ainda que essa seja a primeira decisão admitindo a possibilidade de compensação de crédito envolvendo gastos com LGPD, representa um importante precedente, visto que reconhece os investimentos com a implementação das diretrizes da LGPD como obrigatórios, o que pode beneficiar todas aquelas empresas que tiveram despesas para implementação e manutenção de estruturas para adequação à LGPD. Cabe agora aguardar qual será o entendimento dos tribunais quanto a essa matéria.

em inglês

Em 1º de agosto de 2021 entraram em vigor os artigos da Lei Geral de Proteção de Dados (“LGPD”), que estabelecem a fiscalização e aplicação de sanções por parte da Autoridade Nacional de Proteção de Dados (“ANPD”) na esfera administrativa, por violações à LGPD.

Após apuração por meio de procedimento administrativo, as sanções aplicáveis, previstas no artigo 52 da lei, são:

  • advertências, com indicação de prazo para adoção de medidas corretivas;
  • multas de até 2% do faturamento da pessoa jurídica, grupo ou conglomerado no Brasil no seu último exercício, limitados a R$ 50 milhões por infração;
  • multas diárias;
  • publicização da infração apurada e comprovada;
  • bloqueio de dados pessoais a que se refere a infração até a sua regularização;
  • eliminação dos dados pessoais;
  • suspensão das atividades de coleta e tratamento, sem prejuízo da indenização pelos danos que causarem aos titulares dos dados; e
  • proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.

A fim de regulamentar o art. 52 da lei, a ANPD submeteu à consulta pública, em maio de 2021, uma proposta de Resolução sobre a estratégia de fiscalização do órgão. O documento estabelece que a fiscalização será composta das atividades de monitoramento, orientação, atuação preventiva e repressiva, baseadas nos seguintes valores:

  • regulação baseada em evidências;
  • proporcionalidade entre riscos e recursos alocados;
  • transparência e permeabilidade, que permitam à sociedade acompanhar e contribuir para o aprimoramento da atuação da ANPD;
  • processos transparentes e justos, com regras claras sobre direitos e obrigações; e
  • promoção da conformidade pelos mais diversos instrumentos e abordagens.

A fim de vislumbrar a dinâmica de imposição de multas por Autoridades de Proteção de Dados pelo mundo, podemos citar as multas com base na GDPR (General Data Protection Regulation), regulação europeia de proteção de dados vigente desde maio de 2018. No período de pouco mais de três anos de sua vigência, a GDPR já deu causa à aplicação de mais de 700 multas, quase alcançando a marca de 300 milhões de Euros. Tal montante foi recentemente ultrapassado por uma única multa aplicada contra Amazon.com Inc.

Em decisão de 16 de julho de 2021, a Comissão Nacional de Proteção de Dados de Luxemburgo (CNPD) sancionou a Amazon com a multa mais alta já aplicada no montante de 746 milhões de euros (888 milhões de dólares). A CNPD considerou que a Amazon teria processado dados pessoais de seus clientes em violação ao GDPR. O caso refere-se a uma denúncia formalizada em 2018 pelo grupo de proteção de dados francês “La Quadrature du Net”, estando a decisão ainda sujeita a recurso. Até então, a maior multa aplicada havia sido no valor de 50 milhões de euros contra o Google pela CNIL, autoridade reguladora francesa de proteção de dados pessoais.

Contudo, vale lembrar que além da aplicação de multas, outras penalidades que podem ser até mais prejudiciais ao negócio podem ser aplicadas, além de poderem acarretar perda de clientes, valor de marca e credibilidade no mercado.

Ainda que a ANPD ainda esteja focada na regulamentação, orientação e instrução da lei, as companhias devem estar preparadas para o monitoramento da Autoridade, em conjunto com outros órgãos públicos e entidades de defesa de interesses coletivos como o ministério público.

Para mais informações, entre em contato.

em inglês