Um dos temas de grande repercussão no mundo corporativo nos últimos anos é a Lei Geral de Proteção de Dados (LGPD) e suas implicações.
A abordagem mais recente foi sobre o Regulamento de Dosimetria e Aplicação de Sanções Administrativas, apresentado pela Autoridade Nacional de Proteção de Dados (ANPD). Este será um marco relevante para a conscientização das empresas quanto à proteção dos dados sob sua responsabilidade.
A ANPD, que havia anunciado inicialmente a adoção de uma postura mais educativa e conscientizadora, sinalizou uma mudança de comportamento, no sentido de tomar ações mais incisivas em face dos agentes de tratamentos nos casos de violação às disposições da LGPD.
A audiência pública para a deliberação do tema foi no dia 02 de setembro de 2022, e, com o intuito de formar um modelo democrático e social, a ANPD deixou aberto para os cidadãos participarem das discussões.
Segundo o site oficial do Governo, a ANPD visa fortificar o cenário da aplicação das sanções de forma isonômica, transparente e consistente, haja vista a necessidade de uma segurança jurídica eficaz perante a proteção dos dados pessoais, atualmente consolidada como direito fundamental, no art. 5º, LXXIX da Constituição Federal.
As medidas sugeridas têm como objetivos principais:
(i) induzir o comportamento adequado conforme a LGPD, recompensando os regulados virtuosos, ou seja, aqueles que cumprem a regulação, oferecendo orientação e promovendo a conscientização, e crie espaços para construção de soluções negociais e atingimento da plena conformidade;
(ii) a visualização do processo completo de constrangimento regulatório da ANPD, capaz de lidar com as mais diversas informações, sejam elas entregues pela sociedade ou captadas pela ANPD;
(iii) dar à ANPD um espaço flexível e amplamente transparente para o emprego ágil de meios e ferramentas, sempre vinculados ao escopo de sua atuação; e
(iv) a capacidade de fornecer segurança jurídica aos administrados, dando previsibilidade de sua atuação, amparada em um processo administrativo que assegure o contraditório, a ampla defesa e o direito de recurso.
Nesse sentido, a proposta de resolução submetida à consulta pública estabelece regras claras, em especial parâmetros e critérios aplicáveis às sanções administrativas aprovados pela Resolução CD/ANPD nº 1, de 28 de outubro de 2021, quando as atividades de vigilância e prevenção se mostrarem insuficientes para estimular os agentes de tratamento a agir de acordo com a LGPD.
Ao mesmo tempo, busca prevenir problemas como a reincidência de infrações por agentes regulados e a falta de provisões mínimas para escalação e imposição de penalidades administrativas.
Em primeira linha, o regulamento traz as previsões contidas nos art. 52 e 53 da LGPD. Entretanto incidirão de forma mais direta quanto às orientações sobre dosimetria da pena, dentre eles a base de cálculo e o valor base para a aplicação de multa.
Estes serão impostos conforme os três principais fatores: (i) a classificação da ocorrência, (ii) pelo dano gerado e (iii) pelo faturamento do agente de tratamento. Sendo assim, as multas variam entre R$ 1.000,00 e R$ 50.000.000,00, dependendo do porte do infrator.
Para se ter ciência de quando as sanções punitivas serão aplicadas, deve-se levar em consideração o fato de não haver outra possibilidade iminente, quando as orientações de prevenção não forem levadas em consideração ou quando as infrações forem de cunho grave, que sejam de grande importância, a boa-fé do infrator, a vantagem auferida ou pretendida pelo acusado, bem como sua condição econômica.
De acordo com o texto normativo, as infrações poderão ser classificadas em: leve; média; ou grave.
O valor terá acréscimo de 10% em caso reincidência específica (até o limite de 40%); 5% para reincidência genérica (até o limite de 20%); 20% para cada medida de orientação ou preventiva descumprida no processo (até o limite de 80%); e 30% para cada medida corretiva descumprida, até o limite de 90%.
Conforme mencionado anteriormente, a proibição em relação às atividades de tratamento de dados pessoais ocorrerá nos seguintes casos:
- Quando houver o uso de dados para fins ilícitos ou sem respaldo legal,
- Caso os infratores tenham perdido ou não tenham atendido às condições técnicas básicas aplicáveis à operação,
- Os agentes de tratamento forem reincidentes em atos infracionais.
Conforme mencionado inicialmente, a ANPD muda de postura e sinaliza um comportamento mais incisivo em face dos agentes de tratamentos nos casos de violação às disposições da LGPD.
Às empresas, cabe olhar para os seus processos internos e se questionarem: consigo atender minimamente aos requisitos estabelecidos pela LGPD e exigidos pela ANPD?
Caso a resposta seja “não”, é hora de começar.