A Autoridade Nacional de Proteção de Dados (ANPD) divulgou, por meio da Resolução CD/ANPD nº 04, de 24.02.2023, o “Regulamento de Dosimetria e Aplicações de Sanções Administrativas”, com diretrizes e critérios para aplicação de sanções administrativas nos casos de infração às normas da Lei nº 13.709/2018 (Lei Geral de Proteção de Dados – LGPD).

Trata-se de regulamentação de extrema importância, especialmente para as entidades públicas e privadas que ainda não adequaram suas políticas e processos internos à legislação sobre proteção de dados.

Segundo o Regulamento, a ANPD aplicará as sanções administrativas de forma gradual, considerando, dentre outros requisitos, a natureza, a gravidade e a extensão da infração, bem como boa-fé, cooperação e capacidade econômica do infrator.

Estão previstas as seguintes sanções:

  1. advertência;
  2. bloqueio ou eliminação dos dados pessoais a que se refere a infração;
  3. multa simples ou diária de até 2% do faturamento da empresa infratora limitada a R$ 50 milhões por infração;
  4. publicização da infração cometida; e
  5. suspensão ou proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.

A dosimetria das multas será feita de forma individualizada, casuística, considerando as particularidades e circunstâncias envolvidas, inclusive aquelas agravantes ou atenuantes.

Em comparação com outros países, as penalidades previstas no Brasil não são severas. Contudo, não se pode esquecer que outras consequências mais graves e, eventualmente, incontornáveis, podem advir da não conformidade com a LGPD, como danos à imagem da entidade no caso de incidentes de segurança ou vazamento de dados e dificuldade de celebrar negócios com alguns parceiros comerciais.

A Resolução não definiu de forma objetiva alguns conceitos que serão considerados para determinação da sanção. É o caso de conceitos como “volume de dados”, “dados em larga escala” ou “dano relevante”. A ANPD anunciou que nova minuta, com conceitos mais esclarecidos, será divulgada para suprimir lacunas e reduzir análises com alto grau de subjetividade.

Um ponto de atenção diz com o fato de que, segundo o Regulamento do Processo de Fiscalização e do Processo Administrativo Sancionador, a ANPD pode instaurar um processo administrativo sancionador de ofício; dessa forma, constatada uma violação à LGPD, as sanções poderão ser aplicadas independentemente de denúncia formal.

A ANPD também anunciou, por meio de live realizada em 28.02.2023, que os processos de fiscalização serão divulgados no Diário Oficial da União e no site da ANPD, sem identificação dos titulares dos dados ou das empresas envolvidas. As publicações terão caráter educativo, não punitivo, buscando orientar as empresas sobre as melhores práticas em relação à aplicação da legislação sobre proteção de dados e demais normas da ANPD.

Segundo divulgado, a ANPD concentrará a fiscalização, inicialmente, nos maiores agentes de tratamento de dados, como aqueles que lidam com alto volume de dados, ainda que não se trate de empresa de grande porte. Em todos os casos, a ANPD sinalizou que a adoção de medidas efetivas para reverter eventual dano ao titular de dados é essencial para abrandamento das sanções e quantificação de eventual multa a ser aplicada.

A equipe de LGPD do Fraga, Bekierman & Cristiano Advogados está à disposição para esclarecer dúvidas e assessorar nas providências necessárias à adequação a LGPD.