ANPD PUBLICA REGULAMENTO DE DOSIMETRIA E APLICAÇÃO

A Lei Geral de Proteção de Dados já havia estabelecido, no art. 52, quais as penalidades a que estariam submetidas as organizações que infringissem aquelas normas, as quais serão aplicadas pela Autoridade Nacional de Proteção de Dados (ANPD). São elas:

I – advertência, com indicação de prazo para adoção de medidas corretivas;

II – multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;

III – multa diária, observado o limite total a que se refere o inciso II;

IV – publicização da infração após devidamente apurada e confirmada a sua ocorrência;

V – bloqueio dos dados pessoais a que se refere a infração até a sua regularização;

VI – eliminação dos dados pessoais a que se refere a infração.

Entretanto, embora a legislação já previsse as punições aplicáveis em caso de descumprimento, a ANPD ainda não podia aplicá-las aos infratores em razão da ausência de regulamentação de procedimento específico. Isso explica, em partes, o porquê de se ter pouca notícia de empresas sendo penalizadas pela ANPD.

Ocorre que, no dia 27 de fevereiro, foi publicado o Regulamento de Dosimetria e Aplicação de Sanções Administrativas pela ANPD, que supre a ausência de norma específica e autoriza a aplicação de penalidades. Esse regulamento define quais os métodos e procedimentos que devem ser adotados para determinar qual a punição aplicável ao caso específico e qual a sua extensão, possibilitando assim o cálculo das multas, quando aplicáveis.

Assim, em complemento à Resolução CD/ANPD n.º 1 (a qual estabelece o processo de fiscalização e o processo administrativo sancionador), o Regulamento recém-aprovado objetiva “aprimorar o processo administrativo sancionador e de fiscalização, permitindo-se que a ANPD evolua na atividade repressiva, respeitados o devido processo legal e o contraditório, de modo a proporcionar segurança jurídica e transparência para todos os envolvidos“.

Pontos do Regulamento que merecem destaque

A Resolução dividiu as infrações em i) leves, ii) médias e iii) graves, de modo que apenas às infrações leves é possível aplicar a penalidade de advertência, a qual será acompanhada do dever de implementação de medidas corretivas.

As sanções poderão ser aplicadas sempre que a infração “puder afetar significativamente interesses e direitos fundamentais dos titulares de dados pessoais, caracterizada nas situações em que a atividade de tratamento puder impedir ou limitar, de maneira significativa, o exercício de direitos ou a utilização de um serviço, assim como ocasionar danos materiais ou morais aos titulares, tais como discriminação; violação à integridade física; ao direito à imagem e à reputação; fraudes financeiras ou uso indevido de identidade […]” (art. 8º, §2º do Regulamento).

Um ponto a se destacar é o caso em que a infração envolve o tratamento de dados pessoais sensíveis ou dados pessoais de crianças, de adolescentes ou de idosos. Enquanto que nos casos de infração leve ou média será possível a sanção apenas com advertência e obrigação de adotar medidas corretivas, nesses casos, em razão da titularidade e da sensibilidade dos dados pessoais, a infração será considerada como grave e, portanto, será passível de, no mínimo, sanção de multa.

A multa, que pode ser simples ou diária, será calculada com base no faturamento bruto da organização no último exercício disponível anterior à aplicação da sanção e considerará o grau do dano causado. No caso das infrações graves, a alíquota mínima, para definição do valor base da multa, é de 0,45%, e a alíquota máxima é 1,5% do faturamento bruto da organização.

Isso significa que o tratamento de dados pessoais realizados no âmbito escolar ou em contextos em que a informação sobre a religião (dado sensível) do titular for importante merece ainda mais atenção, considerando os danos que podem ser causados aos titulares e as punições aplicáveis à organização.

Além disso, outros fatores serão considerados para a definição da sanção, como a boa-fé, a reincidência, a cooperação com as investigações, a adoção reiterada e demonstrada de mecanismos e os procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados, em consonância com a LGPD, bem como a adoção de políticas e boas práticas de governança.

Importa ressaltar, por fim, que a organização que infringir as normas de proteção de dados ainda estará sujeita, além das sanções acima, a outras punições, como condenações judiciais, bem como a danos à imagem da organização, de modo a perder credibilidade no mercado e, com isso, uma significativa redução no seu faturamento.

–
–
Leia mais notícias de Helder Nascimento Advogados.
Saiba mais sobre o HNADV.

ANPD PUBLICA REGULAMENTO DE DOSIMETRIA E APLICAÇÃO DE SANÇÕES ADMINISTRATIVAS

Aplicação direta da LGPD pelo Decon Ceará. Fique atento se seu estabelecimento está dentro da lei

ANPD aplica a primeira sanção administrativa. Agente de tratamento multado é uma microempresa

ANPD publica Guia Orientativo sobre o Tratamento de Dados Pessoais para Fins Acadêmicos e para a Realização de Estudos e Pesquisas

ANPD divulga modelo de registro simplificado de operações com dados pessoais para Agentes de Tratamento de Pequeno Porte (ATPP)

ANPD PUBLICA REGULAMENTO DE DOSIMETRIA E APLICAÇÃO DE SANÇÕES ADMINISTRATIVAS

Related Posts

Aplicação direta da LGPD pelo Decon Ceará. Fique atento se seu estabelecimento está dentro da lei

ANPD aplica a primeira sanção administrativa. Agente de tratamento multado é uma microempresa

ANPD publica Guia Orientativo sobre o Tratamento de Dados Pessoais para Fins Acadêmicos e para a Realização de Estudos e Pesquisas

ANPD divulga modelo de registro simplificado de operações com dados pessoais para Agentes de Tratamento de Pequeno Porte (ATPP)