Adquirir

Regulamentação de Sanções Administrativas da LGPD publicada

 

No último dia 27 de fevereiro, a Autoridade Nacional de Proteção de Dados (“ANPD”) publicou a Resolução CD/ANPD nº 4, de 24 de fevereiro de 2023, que traz o regulamento de dosimetria e aplicação de sanções administrativas da Lei Geral de Proteção de Dados Pessoais (“LGPD” e “Regulamentação”, respectivamente).

O texto da tão aguardada Regulamentação foi submetido a consulta pública pela ANPD entre agosto e setembro de 2022, oportunidade em que agentes de mercado e especialistas apresentaram seus comentários e contribuições para o texto da norma.

A Regulamentação já está em vigor e permitirá que a ANPD aplique as sanções da LGPD (cf. art. 52) aos agentes de tratamento de dados em função de comprovado descumprimento da LGPD ou de regulamentos, com base em metodologia definida, após a tramitação de processo administrativo.

Embora a Regulamentação traga determinadas disposições passíveis de discussões em âmbito administrativo ou mesmo judicial, é importante destacar que a Regulamentação firma pontos da LGPD que influenciarão a adoção de medidas por agentes de mercado, para a prevenção de sanções e para assegurar a conformidade com a LGPD e regulamentações sobre proteção de dados.

Na Regulamentação, a ANPD estabelece que as sanções poderão ser aplicadas gradativa, isolada ou cumulativamente, de acordo com as peculiaridades do caso e com as evidências trazidas pelos agentes de tratamento a respeito da infração e dos procedimentos empreendidos para prevenção e remediação de eventuais danos.

Abaixo, destacamos alguns pontos trazidos na Regulamentação:

(i) a sanção de publicização será feita pelo próprio infrator, que deverá divulgar a violação conforme determinado no processo administrativo, bem como arcar com os ônus a ela relacionados;

(ii) as sanções de suspensão do funcionamento do banco de dados, suspensão do exercício da atividade de tratamento e proibição parcial ou total do exercício de atividades de tratamento somente serão aplicadas após alguma das outras sanções previstas na lei já ter sido imposta para o mesmo caso concreto;

(iii) em caso de pluralidade de infratores, as sanções serão aplicadas de forma individualizada;

(iv) o não cumprimento da sanção aplicada ou a ausência de regularização da conduta, no prazo estipulado, ensejará a progressão da atuação da ANPD para a aplicação de sanções mais graves, sem prejuízo da adoção das demais medidas legais cabíveis;

(v) na definição da sanção, deverão ser considerados alguns parâmetros e critérios, dentre os quais destacamos:

  • a boa-fé do infrator,
  • a cooperação do infrator,
  • a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados, em consonância com a LGPD,
  • a adoção de política de boas práticas e governança, e
  • a pronta adoção de medidas corretivas.

(vi) há parâmetros que norteiam a gradação de infrações (leve, média ou grave):

  • a infração será “leve” quando não se verificar qualquer hipótese que possa configurar infrações “médias” ou “graves”.
  • a infração será “média” quando afetar significativamente interesses e direitos fundamentais dos titulares de dados pessoais (ex. quando puder impedir ou limitar o exercício de direitos ou a utilização de um serviço), bem como quando ocasionar danos materiais ou morais aos titulares (ex. discriminação, violação à integridade física, ao direito à imagem e à reputação, fraudes financeiras ou uso indevido de identidade), desde que não seja classificada como “grave”.
  • a infração será considerada “grave” quando, além de presentes os parâmetros que configuram infrações “médias”, for verificada pelo menos uma das seguintes hipóteses:
    • envolver tratamento de dados pessoais em larga escala, observados o volume dos dados envolvidos, duração, frequência e a extensão geográfica do tratamento realizado;
    • auferir vantagem econômica, ou interesse em auferir vantagem econômica em decorrência da infração cometida;
    • implicar em risco à vida do titular;
    • envolver dados sensíveis ou dados de crianças, adolescentes ou idosos;
    • ausência de bases legais da LGPD na atividade de tratamento;
    • provocar discriminação ilícita ou abusos;
    • adotar práticas irregulares sistematicamente;
    • obstruir a atividade de fiscalização da ANPD.

(vii) há definição dos termos “reincidência específica” e “reincidência genérica”, diferenciando-as entre si; e

(viii) a ANPD poderá afastar os métodos de dosimetria da sanção de multa ou mudar a sanção a ser aplicada, caso seja demonstrada a desproporcionalidade da pena e a gravidade da infração.

Além disso, frisamos que a implementação de um programa de governança e de boas práticas de proteção de privacidade e proteção de dados pessoais é (e seguirá sendo) uma peça-chave na prevenção de incidentes de segurança da informação e de infrações à LGPD, bem como se mostra como um atenuante das sanções da Regulamentação. Logo, recomenda-se revisitar ou mesmo iniciar o desenvolvimento de um programa de governança em privacidade e proteção de dados pessoas.

Nosso time de Tecnologia, Inovação e Proteção de Dados está à disposição pronto para lhe ajudar.

Marcelo Padua Lima
mpadua@cascione.com.br

Leonardo Melo
lmelo@cascione.com.br