Estruturada e com orçamento, a ANPD (Autoridade Nacional de Proteção de Dados) tem em sua agenda para 2023 a fiscalização e aplicação de multas em casos de descumprimento das determinações da LGPD e já publicou o Regulamento de Dosimetria e Aplicação de Sanções.

A Autoridade Nacional de Proteção de Dados (ANPD), cumprindo uma agenda estabelecida desde 2021, publicou em 27/02/2023 o Regulamento de Dosimetria e Aplicação de Sanções Administrativas para estabelecer as regras de fiscalização e do processo administrativo do órgão quanto ao descumprimento da Lei Geral de Proteção de Dados (LGPD).

Este regulamento visa estabelecer a aplicação dos artigos 52 e 53 da Lei 13.709/2018, definir os critérios e parâmetros para as sanções pecuniárias e não pecuniárias pela ANPD, bem como as formas e dosimetrias para o cálculo do valor-base das multas, além de alterar artigos de resolução do órgão, para aprimorar o processo administrativo sancionador e de fiscalização.

Importante considerar que a LGPD foi promulgada em 2018, entrou em vigor em 2021 (contando a prorrogação de um ano em razão da pandemia) e que a ANPD, neste período, obteve por parte da sociedade e do governo forças para se estruturar e se estabelecer como uma agência orientativa e fiscalizadora das obrigações de assegurar os direitos dos titulares dos dados e dos mecanismos de efetivar tais defesas.

A referida lei tem por escopo proteger os consumidores e os cidadãos quanto a sua privacidade, a sua segurança e a sua liberdade, de modo a proporcionar mais transparência quanto ao uso de suas informações pessoais. Nesse contexto, é comum que na maioria das empresas haja troca de e-mails com conteúdo sensível, que existam também bancos de dados de clientes sem controle de acesso e que são armazenados por longos períodos, que acabam sendo utilizados para um fim distinto daquele inicial e, pior, sem qualquer controle de segurança. Dessa forma, todos devem se adaptar ao regramento legal de forma a garantir o tratamento de dados conforme determina a LGPD, identificando sempre uma finalidade prévia e legítima que justifique este tratamento. Além disso, é necessário o enquadramento em uma das bases legais trazidas pela lei, podendo ser o consentimento, mas este não sendo o mais indicado.

Assim, desde 2021 a ANPD possui uma agenda com compromissos incluindo regulamentos e orientações para a efetiva implementação e fiscalização do cumprimento das determinações da Lei Geral de Proteção de Dados.

Um marco importante para a LGPD trata-se da dosimetria das penas. Dosimetria é o método que orienta a escolha da sanção mais apropriada para cada caso concreto em que houver violação à LGPD e permite calcular, quando cabível, o valor da multa aplicável ao infrator.

Assim, o Regulamento de Dosimetria e Aplicação de Sanções Administrativas já é a norma que vai estabelecer as circunstâncias, as condições e os métodos de aplicação das sanções, considerando, dentre outros aspectos, o dano ou o prejuízo causado aos titulares de dados pelo descumprimento à Lei Geral de Proteção de Dados Pessoais – LGPD.

O que até então se achava que não poderia ser uma realidade no Brasil, agora se mostra como um verdadeiro divisor de tempos. Com o regulamento de dosimetria, a ANPD poderá atuar de forma fiscalizadora e não só orientativa. E o que isso quer dizer? Que a partir da publicação deste material, tanto as denúncias que chegam até o órgão, quanto as fiscalizações administrativas e até o judiciário nas ações que envolvem o desrespeito às determinações da lei, já terão suas penas materializadas, sem a aplicação de critérios subjetivos para tal. Vale dizer que, em um processo de investigação de uma denúncia realizada no sitio da ANPD constatando-se um desrespeito a algum dispositivo legal, o fiscal poderá adotar os critérios do regulamento e sugerir a aplicação de uma das medidas ali previstas.

Importante destacar que o regulamento de dosimetria busca garantir a proporcionalidade entre a sanção aplicada e a gravidade da conduta do agente, além de proporcionar segurança jurídica aos processos fiscalizatórios e garantir o direito ao devido processo legal e ao contraditório.

Assim, as sanções que poderão ser aplicadas são aquelas previstas na Lei Geral de Proteção de Dados Pessoais – LGPD, sendo elas:

• Advertência;
• Multa simples, de até 2% (dois por cento) do faturamento da empresa, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais), por infração;
• Multa diária, com limite total de R$ 50.000.000,00 (cinquenta milhões de reais);
• Publicização da infração;
• Bloqueio dos dados pessoais;
• Eliminação dos dados pessoais;
• Suspensão parcial do funcionamento do banco de dados por no máximo de 6 (seis) meses, prorrogável por igual período, até que se regularize a situação;
• Suspensão do exercício da atividade de tratamento dos dados pessoais por no máximo de 6 (seis) meses, prorrogável por igual período;
• Proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.

As punições mais severas (além dos valores pecuniários), são o bloqueio ou eliminação definitiva dos dados tratados de forma irregular.

A aplicação das sanções ocorrerá após a análise do caso, em um processo administrativo.

Esse processo deverá dar a oportunidade de ampla defesa, de acordo com as peculiaridades do caso concreto e conforme os seguintes critérios:

1. Gravidade e natureza das infrações e dos direitos pessoais afetados;
2. Boa-fé do infrator;
3. Vantagem auferida ou pretendida pelo infrator;
4. Condição econômica do infrator;
5. Reincidência;
6. Grau do dano;
7. Cooperação do infrator;
8. Adoção de mecanismos e procedimentos internos capazes de minimizar o dano;
9. Adoção de política de boas práticas e governança;
10. Pronta adoção de medidas corretivas; e
11. Proporcionalidade entre a gravidade da falta e a intensidade da sanção.

O caráter punitivo das sanções divulgadas visa conscientizar os agentes de tratamento de dados da abordagem repressiva da ANPD, a qual vem, desde a publicação da lei em 2018 agindo de forma preventiva para promover a consciência e para que o infrator se adeque às disposições da lei. A intenção é garantir a adesão aos termos da lei.

Entretanto, a partir de agora, a ANPD poderá aplicar as sanções administrativas com base em requisitos claros e estabelecidos, pois o regulamento entrou em vigor imediatamente após a sua publicação.

Assim, a garantia da proteção da privacidade e proteção de dados dos titulares está cada vez mais garantida pela Autoridade Nacional. O país passa então a estar alinhado com as melhores práticas mundiais de proteção de dados e assim melhorar cada vez mais a expansão segura dos negócios no Brasil e daqueles feitos no exterior.

A arrecadação das multas aplicadas pela ANPD será destinada ao Fundo de Defesa de Direitos Difusos, que tem por finalidade a reparação dos danos causados ao meio ambiente, ao consumidor, a bens e direitos de valor artístico, estético, histórico, turístico, paisagístico, por infração à ordem econômica e a outros interesses difusos e coletivos.

Portanto, ressalta-se que, caso ainda não tenha ocorrido a adequação dos negócios aos termos da LGPD, o prazo para tal está se findando, pois a partir de agora a ANPD já possui legitimidade para aplicar sanções nas investigações que realizar e identificar descumprimento das determinações legais da lei.

Além da adequação à LGPD, o mapeamento dos processos que utilizam/tratam dados pessoais, também é uma evidência de compliance (conformidade legal) e boa apresentação ao mercado tão instruído e atento a estas questões.