A recente publicação do Regulamento de Dosimetria e Aplicação de Sanções Administrativas (Resolução CD/ANPD nº 4, de 24 de fevereiro de 2023), pela Autoridade Nacional de Proteção de Dados (ANPD), casou grande repercussão no âmbito empresarial, no que se refere a aplicabilidade das sanções administrativas em caso de descumprimento à Lei Geral de Proteção de Dados – LGPD.
Nesse sentido, destaca-se alguns pontos da nova regulamentação e esclarece como se dará a aplicação das penalidades de acordo com a gravidade da violação à LGPD.
A Coordenação de Fiscalização é o órgão responsável por toda análise do processo administrativo relacionado à sanção, garantindo o direito ao contraditório (art. 5º, inciso LV) e ao devido processo legal (art. 5º, inciso LIV), conforme previstos em nossa Constituição Federal.
As infrações são classificadas de acordo com sua natureza e os direitos pessoais afetados, sendo:
Leve – quando não incorrer nas hipóteses classificadas como média ou grave;
Média – quando afetar os direitos fundamentais dos titulares, impedindo ou limitando o exercício de direitos ou utilização de serviço, assim como quando ocasionar danos materiais ou morais aos titulares, desde que não seja classificada como grave.
Grave – sempre que constituir obstrução à atividade de fiscalização ou envolver as hipóteses classificadas como natureza média, cumulativamente, com pelo menos uma das situações previstas no artigo 8º, §3º, inciso I da Resolução nº 4:
- a) envolver tratamento de dados pessoais em larga escala, caracterizado quando abranger número significativo de titulares, considerando-se, ainda, o volume de dados envolvidos, bem como a duração, a frequência e a extensão geográfica do tratamento realizado;
- b) o infrator auferir ou pretender auferir vantagem econômica em decorrência da infração cometida;
- c) a infração implicar risco à vida dos titulares;
- d) a infração envolver tratamento de dados sensíveis ou de dados pessoais de crianças, de adolescentes ou de idosos;
- e) o infrator realizar tratamento de dados pessoais sem amparo em uma das hipóteses legais previstas na LGPD;
- f) o infrator realizar tratamento com efeitos discriminatórios ilícitos ou abusivos; ou
- g) verificada a adoção sistemática de práticas irregulares pelo infrator.
Diariamente é aberta uma série de processos para avaliação, resultantes de incidentes de seguranças, violações ou até mesmo originados de denúncias, sendo que na apresentação de justificativa plausível, demonstrando que o dano cometido à vítima aconteceu de forma mínima, a decisão será pelo encerramento do processo. Caso contrário, aplica-se a sanção.
Nesse ínterim, o artigo 52 da Lei Geral de Proteção de Dados, nº 13.709/2018, estabelece as 09 (nove) sanções administrativas aplicáveis, sendo elas:
I – advertência, com indicação de prazo para adoção de medidas corretivas;
II – multa simples, de até 2% do faturamento da pessoa jurídica de direito privado, limitada a R$ 50 mil reais por infração;
III – multa diária, observado o limite total a que se refere o inciso II;
IV – publicização da infração;
V – bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
VI – eliminação dos dados pessoais a que se refere a infração;
X – suspensão parcial do funcionamento do banco de dados;
XI – suspensão do exercício da atividade de tratamento dos dados pessoais; e
XII – proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
Todavia, a norma estipula incentivos ao ente regulado infrator que recebeu a sanção e reconheceu a violação da Lei Geral de Proteção de Dados, como o benefício consistente em desconto no valor da multa. Porém, aplicável somente quando a penalidade estiver inseria na multa simples.
Com isso, a ANPD inicia a aplicação das sanções administrativas, o que torna indispensável a compreensão de que o principal objetivo da Autoridade é a correta conformidade da LGPD nos âmbitos públicos e privados para que se assegure o cumprimento da norma.