Novidades
28/02/2023

Publicado o Regulamento de Dosimetria e Aplicação de Sanções Administrativas da ANPD

A Autoridade Nacional de Proteção de Dados (“ANPD”), por meio da Resolução CD/ANPD nº 4 (“Resolução”), publicada no Diário Oficial da União de 27.02.2023, expediu o seu Regulamento de Dosimetria e Aplicação de Sanções Administrativas (“Regulamento”).

 

Tal Regulamento permite a aplicação das sanções administrativas, previstas no artigo 52 da LGPD, às organizações que descumprirem a referida lei ou os regulamentos da ANPD, uma vez que estabelece os aguardados parâmetros e critérios para tais sanções, e define formas e dosimetrias para o cálculo do valor-base das multas.

 

Apesar de conter trechos discutíveis e outros controversos – que possivelmente fundamentarão recursos administrativos à ANPD e mandados de segurança ao Judiciário –, o Regulamento consolida a necessidade de adequação à LGPD para se prevenir sanções e evidenciar a conduta adotada pelo agente antes, durante e após a infração.

 

A sanção poderá ser mais branda ou severa a depender da capacidade do agente em atestar sua conformidade e os atos adotados para remediação de danos ou correção da infração, conforme as circunstâncias atenuantes do Regulamento.

 

Cite-se algumas das principais diretrizes trazidas pelo Regulamento:

 

  • sanções de suspensão do funcionamento do banco de dados, suspensão do exercício da atividade de tratamento e proibição parcial ou total do exercício de atividades de tratamento, consideradas mais severas, só poderão ser aplicadas após alguma das outras sanções previstas na lei já ter sido imposta para o mesmo caso concreto;
  • as sanções serão aplicadas individualmente caso haja pluralidade de infratores;
  • o descumprimento à sanção aplicada ou a não-regularização da conduta ensejará a progressão da atuação da ANPD;
  • dentre os parâmetros que serão considerados para a definição da sanção, cabe destacar os seguintes:
    • a boa-fé do infrator;
    • a cooperação do infrator;
    • a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados, em consonância com a LGPD;
    • a implementação de uma política de boas práticas e governança; e
    • a pronta adoção de medidas corretivas.

A classificação das infrações seguirá o nível de gravidade e a natureza do ocorrido, assim como os tipos de direitos pessoais afetados, variando entre os graus leve, médio e moderado. Consoante o artigo 8º, parágrafo 2º, do Regulamento, a infração será de classificação média se a atividade de tratamento impedir ou limitar significativamente os interesses e direitos fundamentais do titular, “assim como ocasionar danos materiais ou morais”. Trata-se de critério subjetivo e valioso para a defesa do agente, principalmente em casos de vazamentos de dados, pois caberia ao Judiciário constatar se houve danos morais e a quais titulares.

A classificação alta de gravidade da infração – tampouco objetiva – ocorrerá se, além da presença dos indicadores de grau médio, um ou mais fatores elencados no parágrafo 3º do artigo 8º for observado, a saber:

  • volumetria de dados, extensão e frequência do tratamento;
  • interesse econômico na infração cometida;
  • risco à vida do titular;
  • tipo de dado e categoria do titular (sensíveis, de crianças, adolescentes ou idosos);
  • ausência de base legal;
  • fins discriminatórios ilícitos ou abusivos; ou
  • adoção sistemática de práticas irregulares.

 

Há, ainda, disposições sobre as circunstâncias agravantes e atenuantes para a dosimetria do valor de multas, critérios para o seu pagamento e diretrizes sobre a aplicação de multas mais gravosas, como as de bloqueio e eliminação de dados ou de suspensão das atividades de tratamento.

 

Um outro ponto crítico a se destacar no texto refere-se à exceção do  artigo 27, que autoriza a ANPD a afastar a metodologia de dosimetria ou substituir a aplicação de sanção de multa por outra constante no Regulamento, se considerar a sanção desproporcional à gravidade da infração, ou seja, cria-se um cenário de possível insegurança jurídica quanto aos critérios dessas sanções.

 

A publicação do Regulamento confere carta branca à ANPD para exercer efetivamente as suas funções fiscalizadora e sancionadora, asseguradas pelo artigo 55-J, da LGPD.

 

Revisitar, ou mesmo desenvolver, um programa de governança em privacidade e proteção de dados pessoais , sem sombra de dúvida, será a chave para prevenção de infrações à LGPD e de incidentes de segurança, além de constituir um grande aliado (se bem estruturado) em processos administrativos perante a ANPD. Seja pelo amor ou pela dor, a LGPD veio para ficar.

 

Clique aqui para acessar a íntegra do Regulamento de Dosimetria e Aplicação de Sanções Administrativas – Resolução CD/ANPD nº 4.

 

Clique aqui para baixar o nosso e-book com um panorama sobre as maiores multas aplicadas nacional e internacionalmente, por violações às leis de privacidade e proteção de dados.

 

Compartilhar: