A Autoridade Nacional de Proteção de Dados (“ANPD”), por meio da Resolução CD/ANPD nº 4 (“Resolução”), publicada no Diário Oficial da União de 27.02.2023, expediu o seu Regulamento de Dosimetria e Aplicação de Sanções Administrativas (“Regulamento”).
Tal Regulamento permite a aplicação das sanções administrativas, previstas no artigo 52 da LGPD, às organizações que descumprirem a referida lei ou os regulamentos da ANPD, uma vez que estabelece os aguardados parâmetros e critérios para tais sanções, e define formas e dosimetrias para o cálculo do valor-base das multas.
Apesar de conter trechos discutíveis e outros controversos – que possivelmente fundamentarão recursos administrativos à ANPD e mandados de segurança ao Judiciário –, o Regulamento consolida a necessidade de adequação à LGPD para se prevenir sanções e evidenciar a conduta adotada pelo agente antes, durante e após a infração.
A sanção poderá ser mais branda ou severa a depender da capacidade do agente em atestar sua conformidade e os atos adotados para remediação de danos ou correção da infração, conforme as circunstâncias atenuantes do Regulamento.
Cite-se algumas das principais diretrizes trazidas pelo Regulamento:
A classificação das infrações seguirá o nível de gravidade e a natureza do ocorrido, assim como os tipos de direitos pessoais afetados, variando entre os graus leve, médio e moderado. Consoante o artigo 8º, parágrafo 2º, do Regulamento, a infração será de classificação média se a atividade de tratamento impedir ou limitar significativamente os interesses e direitos fundamentais do titular, “assim como ocasionar danos materiais ou morais”. Trata-se de critério subjetivo e valioso para a defesa do agente, principalmente em casos de vazamentos de dados, pois caberia ao Judiciário constatar se houve danos morais e a quais titulares.
A classificação alta de gravidade da infração – tampouco objetiva – ocorrerá se, além da presença dos indicadores de grau médio, um ou mais fatores elencados no parágrafo 3º do artigo 8º for observado, a saber:
Há, ainda, disposições sobre as circunstâncias agravantes e atenuantes para a dosimetria do valor de multas, critérios para o seu pagamento e diretrizes sobre a aplicação de multas mais gravosas, como as de bloqueio e eliminação de dados ou de suspensão das atividades de tratamento.
Um outro ponto crítico a se destacar no texto refere-se à exceção do artigo 27, que autoriza a ANPD a afastar a metodologia de dosimetria ou substituir a aplicação de sanção de multa por outra constante no Regulamento, se considerar a sanção desproporcional à gravidade da infração, ou seja, cria-se um cenário de possível insegurança jurídica quanto aos critérios dessas sanções.
A publicação do Regulamento confere carta branca à ANPD para exercer efetivamente as suas funções fiscalizadora e sancionadora, asseguradas pelo artigo 55-J, da LGPD.
Revisitar, ou mesmo desenvolver, um programa de governança em privacidade e proteção de dados pessoais , sem sombra de dúvida, será a chave para prevenção de infrações à LGPD e de incidentes de segurança, além de constituir um grande aliado (se bem estruturado) em processos administrativos perante a ANPD. Seja pelo amor ou pela dor, a LGPD veio para ficar.
Clique aqui para acessar a íntegra do Regulamento de Dosimetria e Aplicação de Sanções Administrativas – Resolução CD/ANPD nº 4.
Clique aqui para baixar o nosso e-book com um panorama sobre as maiores multas aplicadas nacional e internacionalmente, por violações às leis de privacidade e proteção de dados.