A Autoridade Nacional de Proteção de Dados (ANPD) – órgão da administração pública federal responsável por cuidar da proteção de dados pessoais e por implementar e fiscalizar o cumprimento da Lei Geral de Proteção de Dados (LGPD) no Brasil – publicou, nesta segunda-feira (27), o Regulamento de Dosimetria e Aplicação de Sanções Administrativas. O documento orienta sobre as sanções mais apropriadas para cada caso, quando houver violação à LGPD. De acordo com o advogado especialista em Direito Digital e Proteção de Dados Rafael Maciel, muitas empresas postergaram a adequação a boas práticas de proteção de dados, por entenderem que não haveria punição direta.
“O regulamento é extremamente relevante para o sistema de proteção de dados pessoais e, agora, encerra-se uma das principais pendências de efetividade da LGPD, porque a ANPD não podia aplicar multas sem que tivesse essa dosimetria, ainda que a violação de dados pessoais pudesse gerar sanções por outros órgãos fiscalizadores”, esclarece Maciel.
Em casos de incidentes com dados pessoais, a ANPD já previa algumas notificações, mas alguns procedimentos acabaram ficando parados. Com a regulamentação, a autoridade de proteção de dados poderá aplicar multas pecuniárias, que podem chegar a 2% do faturamento bruto do grupo econômico, conforme a atividade que originou a infração incidente, e estão limitadas a R$ 50 milhões, por cada infração cometida.
De acordo com o advogado, outro ponto importante é que a dosimetria reforça o que já está na legislação, mas traz mais detalhes acerca da quantificação da penalidade. A empresa que adota boas práticas, por exemplo, poderá ter uma redução no valor de fixação da sanção, caso haja incidente que a envolva, o que comprova que estar consonante à LGPD tem impacto financeiro imediato nas organizações. Contudo, Maciel pontua que as empresas não devem implementar a proteção de dados apenas para fugir de sanções, mas por entender que esses ativos são importantes, pois tratam da privacidade dos titulares, que são seus clientes e colaboradores. “Portanto, a empresa que se diz respeitável precisa cuidar desses parâmetros para não perder reputação e também para evitar incidentes de vazamento de dados”, finaliza.
A elaboração da norma de dosimetria contou com ampla participação social. A minuta do regulamento recebeu 2.504 contribuições da sociedade em consulta pública realizada entre os dias 15 de agosto e 15 de setembro de 2022. Além da consulta, foi realizada audiência pública, na qual foram recebidas 24 contribuições. A versão final da minuta de Resolução foi apresentada pela Coordenação Geral de Normatização e distribuída entre os diretores, por sorteio, em 25 de janeiro de 2023, ficando a relatoria a cargo do Diretor Arthur Sabbat.
Para que serve?
O regulamento de dosimetria busca garantir a proporcionalidade entre a sanção aplicada e a gravidade da conduta do agente, além de proporcionar segurança jurídica aos processos fiscalizatórios e garantir o direito ao devido processo legal e ao contraditório.
Dessa forma, as sanções aplicadas estabelecerão uma melhor correspondência entre o fim a ser alcançado e o meio empregado, que seja o mais acertado e justo possível.
A elaboração do regulamento de dosimetria foi prevista pelo art. 53 da LGPD e é um requisito para a aplicação de multas pela Autoridade. Sua aprovação é importante para que os processos de fiscalização, que possam resultar em sanções administrativas, sejam mais efetivos.
Quais são sanções poderão ser aplicadas?
Poderão ser aplicadas todas as sanções já previstas na Lei Geral de Proteção de Dados Pessoais – LGPD, que são:
- Advertência;
- Multa simples, de até 2% (dois por cento) do faturamento da empresa, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais), por infração;
- Multa diária, com limite total de R$ 50.000.000,00 (cinquenta milhões de reais);
- Publicização da infração;
- Bloqueio dos dados pessoais;
- Eliminação dos dados pessoais;
- Suspensão parcial do funcionamento do banco de dados por no máximo de 6 (seis) meses, prorrogável por igual período, até que se regularize a situação;
- Suspensão do exercício da atividade de tratamento dos dados pessoais por no máximo de 6 (seis) meses, prorrogável por igual período;
- Proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
Com exceção das multas, todas as demais sanções poderão ser aplicadas ao Poder Público.
Além das multas, a Autoridade poderá aplicar também punições bastante severas aos infratores que não se adequarem às disposições da Lei Geral de Proteção de Dados Pessoais, como o bloqueio ou a eliminação definitiva dos dados pessoais irregularmente tratados.
O que muda a partir de agora?
A partir de agora, a ANPD poderá aplicar as sanções administrativas com base em requisitos claros e estabelecidos, pois o regulamento entra em vigor imediatamente após a sua publicação.
Com isso, o cidadão passa a ter cada vez mais garantia da proteção de seu direito fundamental à proteção de dados pessoais, e o Brasil passa a estar muito mais alinhado às melhores práticas para melhoria de seu ambiente de negócios.
