A Lei Geral de Proteção de Dados Pessoais (LGPD) — também conhecida como a Lei 13.709/2018 — entrou em vigor no Brasil em 18 de setembro de 2020. No entanto, ainda não foram aplicadas sanções por descumprimento da legislação.
É importante observar que as sanções estavam condicionadas à publicação de um regulamento detalhando as regras para sua aplicação.
Após ter sido submetido a consulta pública pela Autoridade de Proteção de Dados do Brasil em agosto do ano passado e de ter recebido mais de 2.500 contribuições de entidades e membros da sociedade civil, empresas e especialistas na área, em 27 de fevereiro de 2023, a Autoridade publicou o Regulamento de dosimetria e aplicação de sanções administrativas.
Essa resolução estabelece parâmetros e critérios que guiarão a ANPD na aplicação das sanções previstas na LGPD para assegurar uma abordagem proporcional, levando em consideração a gravidade da conduta e da sanção, bem como a dosimetria (proporcionalidade) para o cálculo do montante base das multas.
Inicialmente, ressaltamos que a resolução definiu que o conceito de infrações envolve tanto as violações à LGPD quanto as infrações às orientações e normativos publicados pela Autoridade Nacional de Proteção de Dados.
Da mesma forma, suas disposições se aplicam aos procedimentos administrativos em curso no momento de sua entrada em vigor. Ou seja, o Regulamento tem efeitos retroativos, de modo que, a partir deste momento, os processos administrativos que estavam aguardando a edição dessa normativa deverão ser tramitados de forma imediata, garantindo sempre o direito de defesa ao responsável pelo tratamento.
Entre os mencionados critérios e parâmetros que serão utilizados pela ANPD para determinar a sanção estão:
- Gravidade e natureza da infração;
- Extensão do dano;
- Vantagem econômica e condição econômica dos responsáveis e encarregados pelo tratamento;
- Reincidência dos responsáveis e encarregados pelo tratamento;
- Cooperação, boa-fé e adoção de medidas de boas práticas e governança pelo encarregado pelo tratamento;
- Proporcionalidade entre a gravidade da falta e a intensidade da sanção.
Similarmente ao Regulamento Geral de Proteção de Dados (RGPD), as sanções previstas na LGPD não se limitam a multas monetárias e incluem tornar pública a infração, além do bloqueio e eliminação de dados. Assim, para que a ANPD determine qual sanção será imposta, a resolução indica que as infrações devem ser classificadas em três níveis: leves, médias e graves.
As infrações leves são definidas por exclusão; ou seja, sempre que não for possível verificar a incidência dos requisitos para a classificação das infrações como médias ou graves. Por sua vez, as infrações médias são aquelas capazes de afetar significativamente o exercício dos direitos ou a utilização de um serviço pelos titulares, bem como de causar danos materiais ou morais aos mesmos. As infrações graves combinam o requisito das infrações médias com um "elemento de criticidade", por exemplo: o tratamento de dados pessoais sensíveis, ou de dados pessoais de crianças, adolescentes ou idosos, ou o tratamento de dados em grande escala.
Por outro lado, no que diz respeito às multas, para a aplicação da multa simples (até 2% do faturamento da pessoa jurídica, grupo ou conglomerado no Brasil, com um limite de 50 milhões de reais por infração), os requisitos para sua aplicação incluem o descumprimento das medidas preventivas ou corretivas impostas pela ANPD, além da qualificação da infração como grave. O Regulamento também estabelece circunstâncias agravantes e atenuantes aplicáveis ao cálculo do valor das multas simples.
É importante destacar que o regulamento define alguns parâmetros e critérios que devem ser observados pela Autoridade na aplicação de sanções, incluindo, por exemplo, a boa-fé e cooperação do infrator, a adoção de práticas de boa governança, a rápida adoção de medidas corretivas, entre outros. No caso das multas simples, por exemplo, alguns desses critérios são considerados atenuantes e importantes, podendo reduzir uma multa em até 50% de seu valor.
Portanto, é inquestionável a importância de os responsáveis e encarregados pelo tratamento construírem e fortalecerem um programa estruturado de governança de privacidade e proteção de dados com a adoção de medidas de segurança adequadas, pois podem reduzir consideravelmente as sanções aplicadas pela ANPD.
Por outro lado, a ANPD poderá rejeitar, de forma fundamentada, a metodologia de dosimetria nos casos em que se constate um prejuízo à proporcionalidade entre a gravidade da infração e a intensidade da sanção.
A publicação do regulamento de dosimetria é uma ferramenta importante para garantir a eficácia da LGPD. A aplicação de sanções proporcionais e adequadas é crucial para desincentivar as infrações e incentivar os responsáveis pelo tratamento a adotar medidas de segurança e projetar programas sólidos na matéria. Dessa forma, seria mitigada a comissão de infrações e, mesmo no caso de ocorrerem, o fato de já terem sido adotadas e demonstradas como mecanismos capazes de minimizar o risco de tratamento ilícito, poderá reduzir os montantes aplicados como multas, pois o agente do tratamento poderá demonstrar que se adequa aos benefícios apontados pelas atenuantes previstas na Resolução.
Artigo publicado originalmente na data 05/04/2023.
Leia o artigo em:
Comments