A ANPD (Autoridade Nacional de Proteção de Dados) publicou nesta segunda-feira, 27, a resolução CD/ANPD nº4 que aprova o regulamento de dosimetria e aplicações de sanções administrativas. Trata-se da norma que faltava para que a ANPD pudesse começar as sanções a empresas que não cumprem a LGPD (Lei Geral de Proteção de Dados). A relatoria ficou a cargo do diretor Arthur Sabbat e seu posicionamento foi acatado por unanimidade do Conselho Diretor da Autoridade.

O que é dosimetria

A dosimetria é o método para orientar a escolha da sanção mais apropriada para cada caso de violação à LGPD e permite calcular, quando foi o caso, o valor da multa aplicável ao infrator.

E, de maneira mais abrangente, o Regulamento de Dosimetria e Aplicação de Sanções Administrativas é a norma que vai estabelecer as circunstâncias, as condições e os métodos de aplicação das sanções, considerando, dentre outros aspectos, o dano ou o prejuízo causado aos titulares de dados pelo descumprimento à LGPD.

As sanções

A partir do regulamento, “um agente”, ou uma empresa, poderá receber as seguintes sanções administrativas:

  • advertência;
  • multa simples;
  • multa diária;
  • publicização da infração, após devidamente apurada e confirmada a sua ocorrência;
  • bloqueio dos dados pessoais a que se refere a infração, até a sua regularização;
  • eliminação dos dados pessoais a que se refere a infração;
  • suspensão parcial do funcionamento do banco de dados a que se refere a infração;
  • suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração; e
  • proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.

“As sanções poderão ser aplicadas de forma gradativa, isolada ou cumulativamente, de acordo com as peculiaridades do caso concreto e nos termos deste Regulamento.”

Vale dizer ainda que a aplicação de uma sanção não exclui uma possível adoção de outras medidas punitivas por parte da ANPD.

Critérios e parâmetros das sanções

As sanções só serão aplicadas após análise do ocorrido pela ANPD e o direito à ampla defesa, ao contraditório e ao devido processo legal está assegurado.

A ANPD considerará os seguintes parâmetros e critérios de sanção:

  • gravidade e a natureza das infrações e dos direitos pessoais afetados;
  • boa-fé do infrator;
  • vantagem auferida ou pretendida pelo infrator;
  • condição econômica do infrator;
  • reincidência específica;
  • reincidência genérica;
  • grau do dano, nos termos do Apêndice I deste Regulamento;
  • cooperação do infrator;
  • adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados, em consonância com a LGPD;
  • adoção de política de boas práticas e governança;
  • pronta adoção de medidas corretivas; e
  • proporcionalidade entre a gravidade da falta e a intensidade da sanção.

Aplicações da advertência

A ANPD estipulou uma série de sanções, que vão da advertência à multa. São elas:

  • advertência (caso a infração seja considerada leve ou média);
  • multa simples: limitada a 2% do faturamento da empresa ou até R$ 50 milhões.
  • multa diária: valor será aplicado de forma acumulada, considerando o tempo entre a incidência da multa e o cumprimento da obrigação, até o limite total de R$ 50 milhões por infração;
  • publicização dos fatos: de acordo com a relevância do caso e consiste na divulgação da infração pelo próprio infrator, após devidamente apurada e confirmada a sua ocorrência;
  • bloqueio de dados pessoais: suspensão temporária de qualquer operação de tratamento com os dados pessoais a que se refere a infração, mediante a sua guarda, até a regularização da conduta pelo infrator;
  • eliminação de dados pessoais: exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado;
  • suspensão parcial do funcionamento do banco de dados: será aplicada pelo período máximo de seis meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;
  • suspensão do exercício da atividade de tratamento dos dados pessoais: será aplicada pelo período máximo de seis meses, prorrogável por igual período;
  • proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados: consiste no impedimento parcial ou total das operações de tratamento de dados pessoais.