Confira artigo de Flavia Derra Eadi de Castro, Head de Compliance Trabalhista e LGPD da RGL Advogados
A Autoridade Nacional de Proteção de Dados (ANPD) publicou, no dia 27 de fevereiro de 2023, o Regulamento de Dosimetria e Aplicação de Sanções Administrativas, que estabelece parâmetros e critérios para aplicação de penalidades por descumprimento à Lei Geral de Proteção de Dados (LGPD).
A Dosimetria passa a regulamentar os artigos 52 e 53 da Lei e define os critérios e parâmetros para as sanções pecuniárias e não pecuniárias pela ANPD, bem como, as formas e o cálculo do valor base das multas, das quais estavam de forma genérica.
Traz ainda como instrumento do artigo 54 da LGPD, o qual aponta que o valor e a intensidade da sanção derivarão de uma definição fundamentada da ANPD, a partir da gravidade da falta e da extensão do dano. Com o regulamento, as infrações passaram a ser classificadas em leve, média ou grave, tendo como base a natureza dos direitos pessoais afetados e a gravidade.
Com a edição do regulamento finalmente a ANPD pode iniciar processos administrativos em razão da violação do direito fundamental da intimidade e a privacidade, além de estabelecer um critério de valores, a fim de impedir excessos ou deficiências na atividade sancionatória.
Caso não haja enquadramento em nenhuma das hipóteses de infrações médias ou graves, a sanção será leve. As infrações médias, por sua vez, serão identificadas quando puderem afetar significativamente interesses e direitos fundamentais dos titulares, bem como ocasionar danos materiais ou morais a eles. Os casos graves serão caracterizados quando, além das hipóteses da infração média, verificar-se pelo menos uma destas hipóteses: a) envolver tratamento em larga escala; b) o infrator auferir ou pretender auferir vantagem econômica; c) implicar risco à vida dos titulares; d) envolver tratamento de dados sensíveis ou de crianças, adolescentes ou idosos; e) o tratamento ter sido realizado sem amparo em uma base legal; f) tratamento tiver efeitos discriminatórios ilícitos ou abusivos; g) verificada a adoção sistemática de práticas irregulares.
Já a reincidência foi dividida em duas categorias, a específica e a genérica. A primeira se dá quando um mesmo agente desrespeita a mesma regra no período de cinco anos, do trânsito em julgado até a data da nova infração. Já a genérica acontece quando o mesmo infrator descumpre alguma regra legal ou regulamentar, independentemente de qual, em igual período.
Quando aplicadas, as multas devem ser pagas em até 20 dias após a notificação. A fórmula de cálculo das multas pode gerar infrações leves, médias ou graves. As alíquotas mínimas e máximas começam em 0,08% a 0,15% do faturamento no caso de infrações leves; 0,13% a 0,5% em médias; e 0,45% a 1,5% nas graves.
Desta forma, poderão ser aplicadas todas as sanções já previstas na Lei Geral de Proteção de Dados Pessoais – LGPD, que são:
- Advertência;
- Multa simples, de até 2% (dois por cento) do faturamento da empresa, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais), por infração;
- Multa diária, com limite total de R$ 50.000.000,00 (cinquenta milhões de reais);
- Publicização da infração;
- Bloqueio dos dados pessoais;
- Eliminação dos dados pessoais;
- Suspensão parcial do funcionamento do banco de dados por no máximo de 6 (seis) meses, prorrogável por igual período, até que se regularize a situação;
- Suspensão do exercício da atividade de tratamento dos dados pessoais por no máximo de 6 (seis) meses, prorrogável por igual período;
- Proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
Com exceção das multas, todas as demais sanções poderão ser aplicadas ao Poder Público.
Além das multas, a Autoridade poderá aplicar também punições bastante severas aos infratores que não se adequarem às disposições da Lei Geral de Proteção de Dados Pessoais, como o bloqueio ou a eliminação definitiva dos dados pessoais irregularmente tratados.
Os valores arrecadados serão destinados ao Fundo de Defesa de Direitos Difusos, que tem por finalidade reparar danos causados ao meio ambiente, ao consumidor, além de “bens e direitos de valor artístico, estético, histórico, turístico, paisagístico, por infração à ordem econômica e a outros interesses difusos e coletivos”.
Vale ressaltar que a aplicação das penas pela ANPD não exclui a possibilidade de adoção de outras medidas administrativas, previstas na LGPD, em outras normas (como o Código de Defesa do Consumidor, por exemplo) e no Regulamento do Processo de Fiscalização e do Processo Administrativo Sancionador, de modo a garantir a adequação do infrator à legislação de proteção de dados pessoais.
Até o momento apenas o judiciário e outros órgãos fiscalizadores haviam aplicados punições e sanções pelo descumprimento da LGPD, de forma mais comedida, porém, as multas com este Regulamento podem se tornar milionárias a depender do número de titulares atingidos e do efetivo prejuízo causado.
A publicação do regulamento é válida tanto para entidades (públicas e privadas) a se adequarem às determinações da LGPD, com sanções aos seus agentes, dos quais orientam a maneira de se preservar dados e, por consequência, garantem em maior grau a proteção dos direitos fundamentais da intimidade, da privacidade, da imagem e da proteção de dados.
Desta forma, A adequação à LGPD não é uma opção e sim uma obrigação, se a sua empresa ainda não está adequada à LGPD, ou mesmo duvidava de sua eficiência, o regulamento é um forte incentivo a essa estagnação, da qual poderá acarretar sanções severas ao infrator.