ANPD publica regulamento de dosimetria e aplicação das sanções administrativas previstas na LGPD

No dia 27 de fevereiro de 2023 foi publicado no Diário Oficial da União, o regulamento de dosimetria e aplicação das sanções administrativas que define critérios e orienta a escolha da sanção mais apropriada para cada caso concreto em que houver violação à LGPD.

O referido regulamento estabelece as circunstâncias, as condições e os métodos de aplicação das sanções pela Autoridade Nacional de Proteção de Dados (ANPD) considerando o dano ou o prejuízo causado ao titular de dados, de modo a garantir proporcionalidade entre a sanção aplicada e a gravidade da infração.

É importante lembrar que as sanções serão aplicadas após o processo administrativo fiscalizatório, que deve assegurar o contraditório e a ampla defesa da empresa.

Inicialmente, a ANPD adota um modelo de fiscalização responsivo para reconduzir as empresas à conformidade com a LGPD. O não atendimento das orientações enseja a progressão de atuação da ANPD para que atue de maneira repressiva para a aplicação das sanções administrativas.

De acordo com o regulamento, as infrações poderão ser classificadas em leve, média ou grave, conforme a gravidade e os direitos que foram afetados.

INFRAÇÃO LEVE

A infração será considerada leve se não for verificada nenhuma das situações que configurem infração média ou grave, ocasião em que a sanção aplicada será a de advertência.

A advertência também será aplicada se houver a necessidade de imposição de medidas corretivas.

INFRAÇÃO MÉDIA

Já a infração média será considerada nas situações em que ocasionar danos materiais ou morais aos titulares de dados, tais como discriminação, violação à integridade física, danos ao direito de imagem e à reputação, fraudes financeiras ou uso indevido de identidade; bem como nos casos em que a infração puder limitar o exercício de direitos ou a utilização de um serviço pelo titular de dados.

INFRAÇÃO GRAVE

Quanto a infração considerada grave, ocorrerá quando construir prejuízo à atividade de fiscalização, ou quando a empresa cometer qualquer uma das infrações classificadas em média (citadas acima) cumulada com, pelo menos, uma das situações citadas abaixo:

· Se abranger número significativo de dados pessoais, considerando a duração, a frequência e extensão geográfica do tratamento realizado.

· Se a empresa auferir vantagem econômica com a infração cometida.

· Se a infração implicar risco à vida dos titulares.

· Se a infração envolver dados pessoais sensíveis, de crianças, adolescentes ou de idosos.

· Se a empresa utilizar dados pessoais sem amparo em uma das bases legais previstas na LGPD.

· Se a empresa utilizar dados com efeitos discriminatórios ilícitos ou abusivos.

· Se for verificada a adoção de práticas irregulares pelo infrator.

SANÇÃO DE MULTA SIMPLES

A multa simples de até 2% (dois por cento) do faturamento da empresa, limitada a R$ 50.000.000,00 (cinquenta milhões de reais) por infração, é uma das sanções previstas pela LGPD e muito citada na referida regulamentação.

Esta sanção será aplicada nos casos em que a empresa não tiver atendido as medidas preventivas ou corretivas impostas pela ANPD, quando a infração for classificada com grave, ou se pela circunstância do caso concreto, não for adequado aplicar outra sanção.

Para a definição do valor base da multa simples serão considerados alguns elementos, como o faturamento da empresa no último exercício disponível anterior à aplicação da sanção e o grau do dano.

Poderá haver circunstâncias agravantes que aumentarão o valor da multa caso haja reincidência da empresa, descumprimento da medida preventiva orientada pela ANPD em processo de fiscalização ou descumprimento das medidas corretivas.

Frisa-se que o resultado das circunstâncias agravantes será limitado a 2% (dois por cento) do faturamento da empresa, excluídos os tributos, ou a R$ 50.000.000,00 (cinquenta milhões de reais), conforme já mencionado.

Por outro lado, haverá circunstâncias atenuantes que reduzirá o valor base da multa se a empresa cessar a infração, demonstrar a implementação de política de boas práticas e adoção de mecanismos internos capazes de minimizar os danos aos titulares; ou se a empresa comprovar a implementação de medidas capazes de mitigar os efeitos da infração sobre os titulares de dados pessoais afetados.

O prazo para pagamento da sanção de multa será de até 20 (vinte) dias úteis, contados a partir da ciência oficial da decisão de aplicação da sanção. As empresas de pequeno porte terão prazo em dobro para o pagamento da multa.

OUTRAS SANÇÕES

Além da sanção de multa, a ANPD também regulamentou a aplicação das sanções mais severas, como a publicização (divulgação) da infração, bloqueio dos dados pessoais, eliminação dos dados pessoais a que se refere a infração, suspensão parcial do funcionamento do banco de dados e a proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.

Para conferir o regulamento em sua íntegra acesse: https://www.gov.br/anpd/pt-br/assuntos/noticias/anpd-pública-regulamento-de-dosimetria/Resolucaon4CDANPD24.02.2023.pdf

Se você, empreendedor, tiver alguma dúvida e quiser conversar sobre o assunto tratado neste artigo, podemos marcar uma reunião. Entre em contato.