A Autoridade Nacional de Proteção de Dados (ANPD) publicou em 27/2 o Regulamento de Dosimetria e Aplicação de Sanções Administrativas, que prevê critérios para a aplicação das sanções administrativas previstas na lei 13.709/2018, a Lei Geral de Proteção de Dados (LGPD).
O regulamento contou com mais de 2.000 sugestões da sociedade civil e setores da economia. Com ele, a ANPD passa a deter o ferramental necessário para dar início imediato à aplicação das sanções da LGPD. O maior destaque do regulamento está no Apêndice I, que trata da metodologia para o cálculo das sanções de multa.
Chama a atenção a classificação das sanções conforme a gravidade, dividindo-se em sanções leves, médias e graves. Vale lembrar que a LGPD prevê multas de até 2% do faturamento que o infrator tiver obtido no último exercício disponível (limitadas a R$ 50 milhões por infração), de modo que eventual penalidade pecuniária variará conforme a classificação da gravidade da infração.
Pelo regulamento, serão consideradas infrações graves aquelas que indicarem ao menos um dos fatos abaixo:
- Envolver tratamento de dados em larga escala
- O infrator auferir ou pretender auferir vantagem econômica
- A infração implicar risco à vida dos titulares
- A infração envolver dados sensíveis ou dados de crianças, adolescentes ou idosos
- Se o tratamento for realizado sem amparo de base legal
- Se o tratamento for realizado com efeitos discriminatórios ilícitos ou abusivos
- Quando for verificada a adoção sistemática de práticas irregulares ou quando houver obstrução da atividade fiscalizatória da ANPD
- Para aplicação de sanções graves, a infração também precisa afetar interesses e direitos dos titulares ou ocasionar danos morais ou materiais aos titulares, conforme previsto no § 2º do art. 8 do regulamento.
Por fim, na dosimetria da aplicação das multas, a ANPD delimitou condições atenuantes ou agravantes, com destaque para:
Condições agravantes do valor da multa:
+10% em caso de reincidências específicas até o limite de 40%. A reincidência específica é a repetição da mesma infração no período de 5 anos
+5% em caso de reincidências genéricas até o limite de 20%. A reincidência genérica é quando o infrator que já tenha sido penalizado comete outra infração no período de 5 anos
+20% para cada medida de orientação ou preventiva apresentada pela ANPD descumprida até o limite de 80%
+30% para cada medida corretiva apresentada pela ANPD descumprida, até o limite de 90%
Condições atenuantes da multa:
-75% no caso da interrupção da infração antes da instauração do procedimento preparatório da ANPD
-50% no caso da interrupção da infração após a instauração do procedimento preparatório da ANPD
-30% no caso da interrupção da infração após a instauração do processo administrativo da ANPD
-20% nos casos de implementação de política de boas práticas e de governança ou de adoção medidas técnicas ou administrativas capazes de minimizar os danos aos titulares, até a prolação da decisão de primeira instância no âmbito do processo administrativo sancionador
-20% se comprovada a implementação de medidas capazes de reverter ou mitigar os efeitos da infração previamente à instauração de procedimento preparatório ou processo administrativo sancionador pela ANPD
-10% se comprovada a implementação de medidas capazes de reverter ou mitigar os efeitos da infração após a instauração de procedimento preparatório ou processo administrativo sancionador pela ANPD
-5% nos casos em que se verifique a cooperação ou boa-fé por parte do infrator
Destaca-se que, entre as condições que diminuem o valor da multa, estão indicadas ações preventivas de implementação de boas práticas de governança. Reforçando assim a necessidade de que as empresas, grupos ou conglomerados implementem em suas organizações programas de governança em privacidade e proteção de dados.
A ANPD ainda fixou o exíguo prazo de 20 dias para o pagamento da multa, contados da ciência do infrator. O infrator que renunciar ao direito de recorrer em primeira instância receberá o desconto de 25% no valor total que será pago no prazo indicado acima.
Portanto, podemos esperar muita movimentação no campo da privacidade e proteção de dados no Brasil, seja pela aplicação de sanções pela ANPD ou pelos agentes de tratamento de dados pessoais buscando adequar os seus processos internos aos termos da LGPD.
Fonte: Martelli Advogados