LGPD: Autoridade nacional de proteção de dados (ANPD) regulamenta aplicação das sanções administrativas
CAMILLA S. GALVÃO
Fiedra, Britto e Ferreira Neto Advocacia Empresarial
A Autoridade Nacional de Proteção de Dados publicou no dia 27 de fevereiro de 2023, a Resolução CD/ANPD No 4, que regulamenta a Dosimetria e Aplicação de Sanções Administrativas decorrentes de infrações à Lei Geral de Proteção de Dados.
O Regulamento define parâmetros e fixa critérios objetivos para aplicação das sanções pecuniárias e não pecuniárias pela ANPD, bem como a metodologia para calcular o valor das penalidades multas, aplicadas em decorrência de infrações à LGPD.
O objetivo da norma (Resolução CD/ ANPD No 4, de 24 de fevereiro de 2023) é conferir segurança jurídica aos processos de fiscalização e aplicação de sanções no âmbito da Autoridade Nacional de Proteção de dados, bem como, assegurar a razoabilidade na fixação das penalidades, garantindo proporcionalidade entre a gravidade da infração e sanção aplicada em desfavor do agente infrator. Para tanto, o referido Regulamento estabelece os tipos de sanções administrativas que podem ser aplicadas, bem como os critérios e parâmetros para a aplicação.
Nos termos do Novo Regulamento da ANPD, o descumprimento das disposições legais relativas à proteção de dados podem ensejar penalidades de: (i) advertência; (ii) multa simples; (iiii) multa diária; (iv) publicização da infração; (v) bloqueio dos dados pessoais; (vi) eliminação dos dados pessoais; (vii) suspensão parcial do funcionamento do banco de dados; (viii) suspensão do exercício da atividade de tratamento dos dados pessoais; e, até mesmo, (ix) a proibição parcial ou total do exercício de atividades relacionadas atratamento de dados.
A aplicação da sanção deve levar em consideração os critérios definidos na regulamento, tais quais: gravidade e a natureza da infração; boa-fé do infrator; vantagem auferida ou pretendida pelo infrator; condição econômica do infrator; reincidência; dano causado; cooperação do infrator; adoção de mecanismos internos para mitigação dos danos causados; boas práticas e governança no tratamento de dados pessoais; medidas corretivas; proporcionalidade entre a gravidade da infração e a sanção aplicada.
O regulamento também fixa critérios para enquadramento da gravidade e natureza das infrações como leve, média ou gave, estabelecendo os seguintes fatores para enquadramento: tratamento de dados pessoais em larga escala; obtenção ou tentativa de aferição de vantagem econômica; risco à vida dos titulares; tratamento de dados sensíveis ou de dados pessoais de crianças, adolescentes ou idosos; realização de tratamento de dados sem amparo em uma das hipóteses legais previstas na LGPD; efeitos discriminatórios ilícitos ou abusivos; obstrução à atividade de fiscalização etc.
O Regulamento dispõe, ainda, sobre o prazo para pagamento da penalidade de multa, sendo este de 20 (vinte dias úteis), a contar da ciência pelo infrator, com prazo em dobro para os agentes de tratamento de pequeno porte, bem como os encargos de mora: atualização pela Selic e multa de mora de 0,33% ao dia, com limite de até 20% (vinte por cento). Por fim, o Regulamento estabelece a metodologia para aplicação da penalidade, fixando fórmula para o cálculo da multa.
O Resolução CD/ANPD No 4, de 24 de fevereiro de 2023 (Regulamento de Dosimetria e Aplicação de Sanções Administrativas), portanto, reforça a importância da implementação e aprimoramento das boas práticas de gestão de dados pessoais pelas empresas, com objetivo de mitigar riscos de segurança cibernética e evitar a aplicação de sanções administrativas.