Violações a dados pessoais de consumidores: a quem compete aplicar sanções administrativas?

A entrada em vigor da Lei Geral de Proteção de Dados (“LGPD”) ao tempo dos 30 anos da Lei nº 8.078, de 11 de setembro de 1990 (Código de Defesa do Consumidor – “CDC”) marca um processo evolutivo do sistema jurídico brasileiro, alinhado às melhores práticas internacionais.

O Estado tutela a liberdade econômica impondo-lhe a harmonização com outros bens jurídicos constitucionalmente relevantes – neste caso: a privacidade e as relações de consumo. Mas a experimentação de benefícios desse processo depende da autolimitação do Estado no exercício de suas funções administrativas, notadamente a função sancionadora, uma vez que violações simultâneas à LGPD e ao CDC são esperadas em um mercado consumidor altamente tecnológico.

Antes mesmo da entrada em vigor da LGPD, diversos processos administrativos sancionadores em matéria de proteção de dados pessoais de consumidores eram conduzidos pelo Sistema Nacional de Defesa do Consumidor (“SNDC”). Recentemente foi divulgado que somente na Secretaria Nacional do Consumidor (“Senacon”) 34 apuram “o uso indevido de dados pessoais de usuários de plataformas digitais”, sem contar os Procons estaduais.

Diante de um possível conflito de competências entre os órgãos do SNDC e a Autoridade Nacional de Proteção de Dados (“ANPD”), importa determinar a quem caberia processar e eventualmente punir os responsáveis por possíveis violações aos dados pessoais de consumidores, em atenção ao princípio do “ne bis in idem”.

A jurisprudência do Supremo Tribunal Federal (“STF”) reconhece a vedação ao “bis in idem” como norma jurídica. O conteúdo do princípio está relacionado à proibição do sancionamento reiterado do mesmo ato infracional pela Administração Pública e é uma garantia do administrado. Limitação proporcional e razoável, inclusive em vista da necessidade de conferir eficiência à máquina pública e garantir a coerência de suas manifestações.

A doutrina e a jurisprudência administrativa apontam que a caracterização do “bis in idem” depende de identidades subjetiva, fática e de fundamento jurídico. Sobre as identidades subjetiva e fática, não há grande dificuldade em sua identificação. Mas há três correntes sobre o que se caracterizaria como identidade de fundamento jurídico: a primeira indica que se refere à base legal; a segunda, a bens jurídicos coincidentes, e a terceira, a bens jurídicos semelhantes.

Caso se conclua que é necessária a identidade de bases legais para a aplicação do “bis in idem”, dificilmente haverá limitação à atuação sancionadora simultânea das autoridades. Se a coincidência ou semelhança entre os bens jurídicos tutelados forem suficientes para a incidência do “bis in idem”, é plausível aplicá-lo para impedir processos administrativos simultâneos que tenham por objeto violações a dados pessoais de consumidores no âmbito da ANPD e do SNDC. Inclusive, a defesa do consumidor é um dos fundamentos expressos da LGPD.

Logo, caberá às autoridades definirem, em atuação coordenada de autocontenção, se o fundamento jurídico da infração é o mesmo ou não, e, consequentemente, se seria estaria caracterizado o “bis in idem”.

É improvável que o SNDC esteja disposto a declinar voluntariamente de sua função administrativa sancionadora em matéria de proteção de dados, a menos que haja efetiva coordenação com a ANPD. Vê-se com preocupação, por exemplo, a visão da Senacon de que o tratamento de dados pessoais do consumidor sem seu consentimento violaria o CDC. O que o CDC prevê, na realidade, é o dever de informação dos agentes de tratamento, previsão também contida na LGPD. E a LGPD prevê outras bases legais, além do consentimento, que legitimam o tratamento de dados pessoais, como o legítimo interesse do controlador.

Em um primeiro momento, há impossibilidade de coordenação efetiva entre o SNDC e a ANPD devido à não instalação da autoridade de dados pessoais. Mas há experiência recente de cooperação entre autoridades administrativas nesse sentido que pode servir como referência: o Banco Central do Brasil (“Bacen”) e o Conselho Administrativo de Defesa Econômica (“Cade”) aprovaram o Ato Conjunto nº 1, de 10 de dezembro de 2018, que prevê a notificação pelo Cade de processos administrativos envolvendo instituições supervisionadas pelo Bacen, com indicação da infração imputada. Trata-se de mecanismo que diminui a chance de “bis in idem”.

No âmbito do combate à corrupção, a Controladoria-Geral da União, a Advocacia-Geral da União, o Tribunal de Contas da União e o Ministério da Justiça e Segurança Pública celebraram um Acordo de Cooperação Técnica (“ACT”) em 6 de agosto de 2020, sob a coordenação do STF, no qual reconhecem que a natureza complexa dos atos de corrupção exige sua atuação integrada, particularmente quanto aos acordos de leniência. Preservadas suas competências, cabe às autoridades se articularem para evitar conflitos interinstitucionais. O ACT prevê, por exemplo, com base no princípio do “non bis in idem”, que a celebração de acordo de leniência suspende a aplicação de sanções pelas signatárias em relação ao objeto do acordo e extingue a pretensão punitiva com o seu cumprimento integral.

A partir de 1º de agosto de 2021, quando a ANPD estará legalmente autorizada a aplicar sanções administrativas, um mecanismo de cooperação com o SNDC deverá ter sido estabelecido.

A LGPD prevê que a aplicação de sanções administrativas pela ANPD não substitui a aplicação de sanções previstas em legislação específica, inclusive o CDC, e que as competências da ANPD prevalecem no tocante à proteção de dados pessoais, devendo se articular com outros órgãos da Administração. Portanto, apesar de admitir o processo sancionador por ambas as autoridades, a competência da ANPD deve prevalecer em relação ao SNDC sobre violações a dados pessoais de consumidores caso se reconheça um fundamento jurídico comum.

Como visto, há um espaço especialmente conflituoso entre a ANPD e o SNDC em infrações simultâneas à LGPD e ao CDC, com maior aptidão a priori da ANPD em lidar com potenciais violações à proteção de dados pessoais de consumidores no âmbito administrativo. A prática recorrente no Brasil de instauração de processos administrativos sancionadores simultâneos por autoridades diferentes sobre infrações com identidade fática deve ser reavaliada à luz do princípio da proporcionalidade, com maior rigor jurídico, sob risco de “bis in idem”.