março 22, 2024

[Segurança] Entendendo a norma de dosimetria da ANPD

No final de fevereiro do ano passado (2023) a Agência Nacional de Proteção de Dados (ANPD) anunciou a norma de dosimetria da Lei Geral de Proteção de Dados Pessoais (LGPD), que determina em quais casos e como devem ser aplicadas as sanções as empresas que tiverem incidentes no tratamento de dados pessoais.

A partir da publicação do Regulamento de Dosimetria e Aplicação de Sanções Administrativas (Resolução CD/ANPD Nº 4, de 24 de Fevereiro de 2023), as multas e sanções previstas na LGPD poderão ser aplicadas contra as empresas e entidades que descumprirem a legislação. A norma passou por um processo de debate e consultas públicas entre agosto e setembro de 2022, com 2.504 contribuições.

O regulamento, com 14 páginas, possui 28 artigos e um anexo que descreve as fórmulas e cálculos para dosimetria das sanções. Veja os principais pontos dessa norma, de forma resumida, e selecionadas segundo meu ponto de vista:

  • Altera alguns artigos do Regulamento do Processo de Fiscalização e do Processo Administrativo Sancionador da ANPD (Resolução CD/ANPD nº 1, de 28 de outubro de 2021) (Art. 2º);
  • O Art. 8º define que "As infrações são classificadas, segundo a gravidade e a natureza das infrações e dos direitos pessoais afetados, em: I - leve; II - média; ou III - grave".
    • As infrações são consideradas médias quando puderem afetar significativamente interesses e direitos fundamentais dos titulares de dados pessoais, assim como ocasionar danos materiais ou morais aos titulares;
    • a infração grave pode envolver tratamento de dados pessoais em larga escala ou atente a alguns critérios agravantes, tais como implicar risco à vida dos titulares, envolver tratamento de dados sensíveis ou dados pessoais de crianças, adolescentes ou idosos, entre outros;
  • A gravidade da infração vai indicar que sanções podem ser tomadas pela ANPD:
    • Aplicação de Advertência: infração leve ou média (Art. 9º);
    • Aplicação de Multa Simples: infração grave (Art. 10)
  • Sobre a multa simples:
    • O Art. 10 também define que a sanção de multa simples também ocorre quando: I - o infrator não tenha atendido as medidas preventivas ou corretivas a ele impostas, dentro dos prazos estabelecidos, quando aplicável (...) ou se III - pela natureza da infração, da atividade de tratamento ou dos dados pessoais, e pelas circunstâncias do caso concreto, não for adequado aplicar outra sanção.
    • O Art. 11. define os critérios para estipular o valor-base da multa simples, cuja metodologia está descrita no Apêndice I do Regulamento, que considera aspectos como o grau do dano e faturamento da empresa, com valor máximo de multa de R$ 50 milhões de reais (§ 1º, e);
    • O Art. 12 estabelece as circunstâncias agravantes no cálculo do valor da multa simples: I - 10% para cada caso de reincidência específica, até o limite de 40%; II - 5% para cada caso de reincidência genérica, até o limite de 20%; III - 20% para cada medida de orientação ou preventiva descumprida no processo de fiscalização (...), até o limite de 80%; e IV - 30% para cada medida corretiva descumprida, até o limite de 90%;
    • O Art. 13 define cinco circunstâncias atenuantes que podem reduzir o valor da multa simples (em até 7 porcentagens distintas possíveis), tais como:
      • 5%, nos casos em que se houve a cooperação ou boa-fé por parte do infrator;
      • 5%, 10% ou 20% nos casos em que o infrator tenha comprovado a implementação de medidas para reverter ou mitigar os efeitos da infração (previamente à instauração de procedimento preparatório ou do processo administrativo);
      • 20% nos casos de implementação de política de boas práticas e de governança ou de adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar os danos aos titulares;
      • 30%, 50% ou 75% nos casos de cessação da infração, dependendo se já houve a instauração de procedimento preparatório ou sancionador pela ANPD;
    • O valor da multa pode variar de acordo com fatores agravantes (art. 12) ou atenuantes (art. 13), e segundo o artigo 15, não poderá ser inferior aos valores mínimos previstos no Apêndice II e será limitado a 2% do faturamento ou a R$ 50 milhões de reais;
  • Sobre a aplicação de Multa Diária:
    • A sanção de multa diária poderá ser aplicada para assegurar o cumprimento de uma sanção não pecuniária ou de uma determinação estabelecida pela ANPD ou quando o infrator deixar de sanar irregularidades notificadas pela ANPD, obstruir a fiscalização ou não cessar a infração (art. 16);
  • Segundo o Art. 20,  a ANPD poderá aplicar ao infrator a sanção de publicização, que consiste na divulgação da infração pelo próprio infrator, após devidamente apurada e confirmada a sua ocorrência;
  • A ANPD poderá aplicar a sanção de bloqueio dos dados pessoais, que consiste na suspensão temporária de qualquer operação de tratamento com os dados pessoais a que se refere a infração (Art. 22), de eliminação (Art. 23), de suspensão parcial do funcionamento do banco de dados (Art. 24) ou a sanção de suspensão (Art. 25) ou proibição total ou parcial (Art. 26) do exercício de atividades de tratamento dos dados pessoais.

Quando aplicadas, as multas devem ser pagas em até 20 dias após a notificação. A fórmula de cálculo das multas pode gerar infrações leves, médias ou graves. As alíquotas mínimas e máximas começam em 0,08% a 0,15% do faturamento no caso de infrações leves; 0,13% a 0,5% em médias; e 0,45% a 1,5% nas graves. O texto da LGPD prevê multas de até 2% do faturamento, até o teto de R$ 50 milhões.

Até o final de fevereiro de 2023, quando foi lançada a norma de dosimetria, a ANPD já tinha recebido cerca de 7 mil denúncias de descumprimento da LGPD. Porém, dessas denúncias, apenas oito processos foram instaurados, que aguardavam a publicação da norma de dosimetria para seguir seu curso.

Em 07 de Julho do ano passado foi aplicada a primeira punição pelo descumprimento da LGPD, publicada no Diário Oficial da União: a empresa Telekall Infoservice foi multada por infringir os arts. 7º e 41 da LGPD, sobre os quais incidiu multa simples, além do art. 5º do Regulamento de Fiscalização da ANPD, o que resultou em sanção de advertência.  Por se tratar de uma microempresa, o valor para cada infração ficou limitado a 2% do seu faturamento bruto, conforme art. 52, II, da LGPD, totalizando uma multa de R$ 14.400,00.

Para saber mais:

Nenhum comentário:

Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.