Operadores portuários, atenção para as multas da ANPD!
Os operadores portuários, sejam eles arrendatários de áreas em portos organizados, sejam terminais privados e estações de transbordo, lidam com uma quantidade enorme de dados pessoais de seus próprios colaboradores, da mão de obra de trabalhadores avulsos, de fornecedores e de terceiros que acessam as suas dependências.
Isso porque estão sujeitos a uma série de regras (trabalhistas, regulatórias, ambientais, de proteção ao consumidor etc.) que lhes exigem que mantenham cadastros precisos das pessoas físicas com quem mantém relações jurídicas. Além disso, há os operadores portuários que dispõem de recintos alfandegados e, por isso, estão sujeitos também às regras das Portarias nº 20/2022 e nº 143/2022 da Receita Federal do Brasil, que exigem um rigorosíssimo controle de acesso das pessoas em suas áreas, inclusive com registro ininterrupto de imagens e a realização de outros cadastros para a segurança das operações.
Todos esses dados pessoais coletados pelos sistemas exigidos pelas regras em vigor, mas principalmente pelas regras impostas pelas autoridades aduaneiras, devem ser protegidos segundo a Lei Geral de Proteção de Dados Pessoais – LGPD e estão sujeitos à fiscalização da Agência Nacional de Proteção de Dados – ANPD que, por sua vez, publicou no dia 24 de fevereiro de 2023 a Resolução nº 4 do Conselho Diretor da ANPD, que alterou o texto da Resolução nº 1/2021 que havia instituído regras de processo administrativo e, enfim, regulamentou a dosimetria das sanções que podem ser impostas quando a ANPD constatar a infração às normas de proteção de dados pessoais.
De início, já é preciso dizer que essas regras atribuem uma excessiva discricionariedade à ANPD para dizer o que é e o que não é ilícito. Apesar de existir padrões técnicos de boas práticas em proteção de dados, ampla e internacionalmente aceitos, como os organizados no Brasil pela Associação Brasileira de Normas Técnicas – ABNT, que publicou a família de normas NBR ISO/IEC 27000, cujas versões mais recentes datam de 2022, a ANPD não adota formalmente esses padrões e segue atribuindo a si própria, por meio de regulamentos, o poder de dizer livremente o que é ou não uma infração às normas de proteção de dados.
Além dessa situação de indefinição a respeito do que deve e do que não deve ser considerado infração, há também o problema da dosimetria das sanções instituídas pela nova Resolução nº 4/2023 da ANPD, cujas multas administrativas podem alcançar o valor estratosférico de até 2% do faturamento anual ou até R$ 50.000.00,00, no caso de infrações consideradas graves pela ANPD, nas quais venham a ser constatas situações agravantes.
Num setor como o dos operadores portuários, em que a competição é muito acirrada e as margens de lucro são historicamente apertadas, uma sanção de multa nessas proporções é um risco imenso que, definitivamente, não pode ser negligenciado pelos seus gestores.
Evidentemente, não é qualquer situação que pode vir a ser considerada infração pela ANPD. Afinal, por mais discricionariedade que ela tenha atribuído a si própria, será sempre necessário que a ANPD motive de forma muito objetiva, clara e congruente as imputações que fizer aos operadores portuários. Entretanto, como é uma entidade da Administração Pública Federal, os atos praticados pela ANPD possuem presunção de legitimidade e de legalidade. Ou seja, sempre caberá aos operadores portuários o ônus de provar que não cometeram o ilícito imputado pela ANPD.
É neste momento, portanto, que um sólido programa de proteção de dados, implementado e em pleno funcionamento segundo as NBRs da família ISO/IEC 27000, é essencial aos operadores portuários, pois pode neutralizar o risco da imposição de multas severas calculadas segundo a Resolução nº 4/2023. Afinal, o programa pode proporcionar as provas suficientes e necessárias de que não foi cometida uma infração, dada a adoção das boas práticas internacionalmente aceitas.
Mas o fato é que ainda há muitos operadores portuário desprevenidos nesse aspecto, o que pode ser percebido facilmente mediante uma rápida consulta à Internet. Com efeito, o Art. 41, § 1º da LGPD exige que os operadores portuários apontem o nome e o endereço eletrônico para contato do encarregado de proteção de dados nos seus portais e páginas mantidos na Internet. No entanto, vários arrendatários e terminais privados não cumprem essa exigência, facilmente verificável por qualquer pessoa com acesso a computador ou celular conectado à Internet e, assim, abrem um flanco enorme para fiscalizações da ANPD, expondo-se ao risco de forma absolutamente desnecessária.
Mas, sem dúvida, a implantação de um programa de proteção de dados é o remédio apropriado para resolver esse problema. Com efeito, assim como os operadores portuários passaram a contar com uma série de programas de compliance, segurança do trabalho, prevenção a acidentes e incêndios, planos para emergências ambientais e outros avanços, chegou enfim o momento de adotarem os programas de proteção aos dados pessoais e, assim, mitigar os riscos apontados acima.
Fonte: Rafael Ferreira Filippin é advogado (OAB/PR nº 27.200), doutor em Meio Ambiente e Desenvolvimento pela UFPR, vice-presidente da Comissão de Direito Ambiental da OAB/PR