ANPD regulamenta dosimetria e aplicação de sanções administrativas.
Foi publicado no dia 27/02/2023, a resolução CD/ANPD Nº 4/2023 da Autoridade Nacional de Proteção de Dados – ANPD que aprova o regulamento de dosimetria e aplicação de sanções administrativas, oportunidade em que restou disciplinada, entre outros, as sanções que serão aplicadas aos agentes de tratamento que violarem a legislação aplicada, esclarecendo de que maneira serão aplicadas, quais os prazos e em que condições serão aplicadas.
O que são e quais as sanções administrativas que podem ser aplicadas?
As sanções administrativas (penalidades) previstas na resolução derivam da violação e inobservância do disposto na LGPD e a gravidade pelo descumprimento vai muito mais além de prejuízos financeiros. As infrações administrativas que poderão ser aplicadas são as seguintes:
|
I - advertência (art. 9º do anexo do regulamento); |
|
II - multa simples (arts. 10 a 15 do anexo do regulamento); |
|
III - multa diária (art. 16 do anexo do regulamento); |
|
IV - publicização da infração, após devidamente apurada e confirmada a sua ocorrência (arts. 20 e 21 do anexo do regulamento); |
|
V - bloqueio dos dados pessoais a que se refere a infração, até a sua regularização (art. 22 do anexo do regulamento); |
|
VI - eliminação dos dados pessoais a que se refere a infração (art. 23 do anexo do regulamento); |
|
VII - suspensão parcial do funcionamento do banco de dados a que se refere a infração (art. 24 do anexo do regulamento); |
|
VIII - suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração (art. 25 do anexo do regulamento); e |
|
IX - proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados (art. 26 do anexo do regulamento). |
Quais as classificações das infrações?
As infrações foram classificadas como leve, média e grave, levando em consideração a gravidade e a natureza das infrações, bem como dos direitos pessoais afetados. Conforme art. 8º do anexo do regulamento:
|
I – leve: quando não verificada nenhuma das hipóteses classificadas como média e grave; |
|
|
II – média: quando puder afetar significativamente interesses e direitos fundamentais dos titulares de dados pessoais, caracterizada nas situações em que a atividade de tratamento puder impedir ou limitar, de maneira significativa, o exercício de direitos ou a utilização de um serviço, assim como ocasionar danos materiais ou morais aos titulares, tais como discriminação; violação à integridade física; ao direito à imagem e à reputação; fraudes financeiras ou uso indevido de identidade, desde que não seja classificada como grave; |
|
|
III – grave: |
|
|
1 - quando verificada a hipótese de infração média e cumulativamente, pelo menos, uma das seguintes: a) envolver tratamento de dados pessoais em larga escala, caracterizado quando abranger número significativo de titulares, considerando-se, ainda, o volume de dados envolvidos, bem como a duração, a frequência e a extensão geográfica do tratamento realizado; b) o infrator auferir ou pretender auferir vantagem econômica em decorrência da infração cometida; c) a infração implicar risco à vida dos titulares; d) a infração envolver tratamento de dados sensíveis ou de dados pessoais de crianças, de adolescentes ou de idosos; e) o infrator realizar tratamento de dados pessoais sem amparo em uma das hipóteses legais previstas na LGPD; f) o infrator realizar tratamento com efeitos discriminatórios ilícitos ou abusivos; ou g) verificada a adoção sistemática de práticas irregulares pelo infrator; |
2 - constituir obstrução à atividade de fiscalização.
|
Qual a dosimetria que será observada na aplicação da sanção?
Na definição das sanções, deverão ser considerados os seguintes parâmetros e critérios, os quais estão dispostos no art. 7º do anexo do regulamento:
|
I - a gravidade e a natureza das infrações e dos direitos pessoais afetados; |
|
II - a boa-fé do infrator; |
|
III - a vantagem auferida ou pretendida pelo infrator; |
|
IV - a condição econômica do infrator; |
|
V - a reincidência específica; VI - a reincidência genérica; |
|
VII - o grau do dano, nos termos do Apêndice I do regulamento; |
|
VIII - a cooperação do infrator; |
|
IX - a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados, em consonância com a LGPD; |
|
X - a adoção de política de boas práticas e governança; |
|
XI - a pronta adoção de medidas corretivas; |
|
XII - a proporcionalidade entre a gravidade da falta e a intensidade da sanção. |
Para definição do valor-base da penalidade de multa simples deverá ser observada a metodologia disposta o Apêndice I do Regulamento e valores mínimos dispostos no Apêndice II do Regulamento, sendo que também deverão ser considerados os elementos: a) classificação da infração; b) faturamento do infrator e; c) o grau do dano.
Sem prejuízo do acima exposto, o valor da multa poderá ser aumentado quando incidentes circunstâncias agravantes ou reduzido quando incidentes circunstâncias atenuantes, as quais estão expressamente dispostos no art. 12 e 13 da Anexo do Regulamento.
Conclusões:
Diante do acima exposto, e uma vez definidas as sanções que serão aplicadas, resta evidente a necessidade das organizações/empresas adotarem programas de governança em proteção de dados e de medidas efetivas de segurança que visam, entre outros, proteger os dados pessoais dos titulares.
Assim, caso sua organização/emrpresa ainda não tenha implementado medidas para garantir a conformidade com a LGPD, necessário estruturar e implementar o programa com a maior brevidade possível afim de evitar, entre tantas outras repercussão, prejuízos advindos da aplicação das sanções administrativas ou mesmo oriundos de condenações judiciais.
Ramone Biasotto – OAB/RS 129.598