Por Dimas Tafelli
Enfim, a ANPD – Autoridade Nacional de Proteção de Dados, publicou no último dia 27/02/23 o regulamento de aplicação de sanções administrativas em caso de descumprimento à Lei Geral de Proteção de Dados (LGPD – Lei nº. 13.709/2018).
Esta publicação permite à Autoridade aplicar punições por descumprimento à Lei Geral de Proteção de Dados (LGPD).
O regulamento era esperado, já que a partir de agora temos critérios objetivos para aplicação de multas por descumprimento da legislação.
A Dosimetria orienta a escolha da sanção mais apropriada para cada caso concreto em que houver violação à LGPD e permite calcular, quando cabível, o valor da multa aplicável ao infrator.
Esta norma estabelece, portanto, as circunstâncias, as condições e os métodos de aplicação das sanções, considerando, dentre outros aspectos, o dano ou o prejuízo causado aos titulares de dados pelo descumprimento à LGPD.
A norma indica a definição da infração pelo grau do dano experimentado pelo titular dos dados pessoais (cidadão): leve, média e grave.
Como infração média, a própria norma cita como exemplo que será aquela que afeta significativamente interesses e direitos fundamentais do titular, causando-lhe danos materiais e morais, tais como discriminação; violação à integridade física; ao direito à imagem e à reputação; fraudes financeiras ou uso indevido de identidade, conforme §2º do artigo 8º.
Assim, a partir desta publicação, a ANPD pode começar a aplicar as sanções administrativas por violações à LGPD, que podem chegar à 50 milhões de reais.
Quais são as sanções que poderão ser aplicadas?
O artigo 52 da LGPD indica quais são as sanções administrativas que podem ser aplicadas:
• Advertência;
• Multa simples, de até 2% (dois por cento) do faturamento da empresa, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais), por infração;
• Multa diária, com limite total de R$ 50.000.000,00 (cinquenta milhões de reais);
• Publicização da infração;
• Bloqueio dos dados pessoais;
• Eliminação dos dados pessoais;
• Suspensão parcial do funcionamento do banco de dados por no máximo de 6 (seis) meses, prorrogável por igual período, até que se regularize a situação;
• Suspensão do exercício da atividade de tratamento dos dados pessoais por no máximo de 6 (seis) meses, prorrogável por igual período;
• Proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
Com exceção das multas, todas as demais sanções poderão ser aplicadas inclusive ao Poder Público.
Além das multas, a Autoridade poderá aplicar também punições bastante severas aos infratores que não se adequarem às disposições da Lei Geral de Proteção de Dados Pessoais, como a publicização da infração, em que a infração passa a ser pública podendo causar danos reputacionais e prejuízos incalculáveis à imagem do infrator, por exemplo.
Mas e agora, o que muda? A lei já não estava vigente?
A lei já estava vigente, mas ainda restava a regulamentação da forma que as sanções seriam aplicadas. Inclusive, existem ao menos 8 processos em tramitação, que a ANPD apenas aguardava a edição destas regras para a aplicação das penalidades.
Assim, partir de agora a ANPD poderá aplicar as sanções administrativas com base em requisitos mais claros e estabelecidos, pois o regulamento entrou em vigor imediatamente após a sua publicação, que ocorreu no dia 27/02/2023 e conta, inclusive, com a aplicabilidade retroativa aos processos administrativos já em curso.
Existem ainda algumas lacunas, que poderão gerar discussões judiciais.
Ainda que a publicação da norma seja realmente um avanço, encerrando um último estágio para a aplicação de multas diante de infrações à LGPD, alguns conceitos previstos são demasiadamente genéricos e, caso não aperfeiçoados por outras regulamentações administrativas, poderão fatalmente gerar discussões judiciais a respeito.
Como exemplo, tem-se o conceito de infração grave, que externa subjetividade indesejável para a segurança nas aplicações de multas com base em critérios objetivos, já que estabelece como critério para sua caracterização o tratamento de dados de “número significativo de titulares”, sem indicar um percentual ou qualquer outro apontamento seguro para tanto.
Além disso, as definições de reincidência genérica para agravamento das sanções aplicáveis à infração, o conceito de grupo econômico ou conglomerado, cujos faturamentos podem ser somados para fixação de multa, também ficaram em aberto e poderão gerar outros questionamentos.
De todo modo, o sistema de proteção ao titular dos dados pessoais passa a estar cada vez mais completo, com a garantia da proteção do direito fundamental à proteção de dados pessoais, e o Brasil passa a estar muito mais alinhado às melhores práticas para melhoria de seu ambiente de negócios, maturidade desejável para um país em desenvolvimento.
Com a publicação desta norma, a implementação de Projetos eficazes e seguros de adequação às políticas de compliance LGPD passa a ser ainda mais necessária, se tornando agora mensurável diante da possibilidade de aplicação de sanções administrativas pela ANPD, conforme definido na legislação.
O autor
é advogado, mestre em Ciências Aplicadas pela USP, fundador do Tafelli Ritz Advogados e CEO da Code Compliance & Education.