Punições da LGPD entram em vigor com publicação de dosimetria

Voltar
punições da LGPD Rastek Soluções
Autor: Alexandre Bertolazi Categoria: Arquivos LGPD, Arquivos Segurança da Informação Comentários: 0 Publicado em: 28 de março de 2023

Punições da LGPD entram em vigor com publicação de dosimetria

A Autoridade Nacional de Proteção de Dados publicou, em 28 de fevereiro, o Regulamento de Dosimetria e Aplicação de Sanções Administrativas às infrações. Com isso, as punições da LGPD entram em vigor em 2023 e podem ser aplicadas inclusive retroativamente.

A Lei Geral de Proteção de Dados entrou em vigor em setembro de 2020, inspirada pela General Data Protection Regulation (GDPR) europeia. No entanto, com intuito de ampliar o prazo de adequação ao novo regramento, foi definido que as penalizações só seriam ser aplicadas a partir de 1º de agosto de 2021.

Ainda assim, para a efetividade total da LGPD, ainda faltavam as definições dos padrões de dosimetria para a aplicação das punições da LGPD, lacuna preenchida pelo regulamento publicado.

O que é dosimetria?

Dosimetria é o termo jurídico utilizado para ajustar a punição à gravidade de uma infração à lei. É o método que orienta a sanção mais apropriada de acordo com as particularidades de cada caso. O regulamento de dosimetria da ANPD é, então, uma espécie de “métrica de proporcionalidade” que estabelece as condições, os métodos e circunstâncias das punições de acordo com a gravidade das ações do agente infrator. É a dosimetria, portanto, que ajuda a estabelecer a segurança jurídica com base na jurisprudência das penas aplicadas em casos semelhantes.

Qual o objetivo do regulamento de dosimetria da ANPD?

Os artigos 52 e 53 da Lei Geral de Proteção de Dados definem as advertências, penalidades, sanções administrativas e multas aplicadas por violação do regramento. Cabe ressaltar também que qualquer tipo de penalização só será aplicada após procedimento administrativo que possibilite ampla defesa, analisando as peculiaridades de cada caso individualmente.

A norma de Dosimetria tem como objetivos:

a)  Regulamentar os artigos 52 e 53 da LGPD e definir os critérios e parâmetros para as sanções pecuniárias e não pecuniárias pela ANPD, bem como as formas e dosimetrias para o cálculo do valor-base das multas;

b) Alterar os artigos 32, 55 e 62 da Resolução nº 1º CD/ANPD, com vistas a aprimorar o processo administrativo sancionador e de fiscalização, permitindo-se que a ANPD evolua na atividade repressiva, respeitados o devido processo legal e o contraditório, de modo a proporcionar segurança jurídica e transparência para todos os envolvidos.

A ANPD visa, portanto, promover e ampliar a adequação à LGPD entre as empresas, premiando com orientação e conscientização àquelas empresas que cumprem a regulação.
Ao mesmo tempo, mira a construção de soluções para o atingimento da plena conformidade das empresas infratoras ou não-adequadas.

Qual o critério para a aplicação das punições da LGPD?

Empresas que violarem o regramento da Lei Geral de Proteção de Dados estarão sujeitas à aplicação das punições da LGPD previstas no artigo 52. A resolução CD/ANPD nº4 publicada em 28 de fevereiro definiu critério e dosimetria das penas de acordo com a natureza e gravidade das infrações cometidas.

A classificação das transgressões foram definidas como:

Leve – quando não incorrer nas hipóteses classificadas como Média ou Grave;

Média – quando a atividade afetar os direitos fundamentais dos titulares, impedindo ou limitando o exercício de direitos ou utilização de serviço, assim como quando ocasionar danos materiais ou morais aos titulares, desde que não seja classificada como grave.

Grave – sempre que constituir obstrução à atividade de fiscalização ou envolver as hipóteses classificadas como natureza Média, cumulativamente, com pelo menos uma das situações previstas no artigo 8º, §3º, inciso I da Resolução nº 4:

a) envolver tratamento de dados pessoais em larga escala, caracterizado quando abranger número significativo de titulares, considerando-se, ainda, o volume de dados envolvidos, bem como a duração, a frequência e a extensão geográfica do tratamento realizado;
b) o infrator auferir ou pretender auferir vantagem econômica em decorrência da infração cometida;
c) a infração implicar risco à vida dos titulares;
d) a infração envolver tratamento de dados sensíveis ou de dados pessoais de crianças, de adolescentes ou de idosos;
e) o infrator realizar tratamento de dados pessoais sem amparo em uma das hipóteses legais previstas na LGPD;
f) o infrator realizar tratamento com efeitos discriminatórios ilícitos ou abusivos; ou
g) verificada a adoção sistemática de práticas irregulares pelo infrator.

Desta forma, a ANPD visa trazer previsibilidade e segurança jurídica à legislação de proteção de dados vigente ao hierarquizar as infrações e basear futuras decisões em jurisprudência pré-estabelecida.

Quais são multas e penalidades previstas na LGPD?

As multas e sanções administrativas que podem ser aplicadas pela Autoridade Nacional de Proteção de Dados desde agosto de 2021 são, em ordem escalável de gravidade:

Advertência

Serão aplicadas advertências quando a infração for considerada leve ou média não havendo reincidência específica. A reincidência específica consiste em desrespeito à mesma norma em um período de cinco anos.

As advertências, além do caráter de punição inicial, também trazem consigo a indicação de quais ações devem ser tomadas para a empresa para retornar à conformidade com o regramento.

Multa simples

As multas podem alcançar o valor de até 2% do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos. As multas serão aplicadas quando:

  • os infratores não atenderem às medidas preventivas e / ou corretivas impostas na advertência inicial;
  • a infração for considerada grave;
  • não for adequada a aplicação de outras sanções.

A ANPD estabelece quatro fases para a definição dos valores das multas pecuniárias, sendo elas:

  1. A definição de uma alíquota-base;
  2. Identificação do valor-base da multa;
  3. Estabelecimento do valor da multa e
  4. Adequação dos limites mínimos e máximos da multa.

Cabe ressaltar que, segundo a legislação vigente, a multa não pode ultrapassar R$50 milhões por infração. A definição do valor da multa precisa considerar alguns aspectos, como:

  • A classificação da infração (leve, média ou grave);
  • O grau e extensão dos danos causados pela infração;
  • O faturamento do infrator ou valores absolutos definidos pela ANPD para agentes de tratamento pessoa física ou pessoa jurídica sem faturamento;
  • Circunstâncias atenuantes;
  • Circunstâncias agravantes;
  • Limites mínimos e máximos das multas aplicáveis.

Além das fórmulas de cálculo das multas, a ANPD também estabeleceu valores mínimos às multas aplicáveis a agentes de tratamento que transgredirem ao regramento da LGPD mesmo que não tenham faturamento:

Valor mínimo (o que for maior)Classificação da InfraçãoPessoa Natural ou Pessoa Jurídica Sem FaturamentoDemais casos
Dobro da vantagem auferida
LeveR$1000R$3000
MédiaR$2000R$6000
GraveR$4000R$12000

Multa diária

As multas diárias serão aplicadas quando houver a necessidade de assegurar que sanções não-pecuniárias ou determinações de adequação da ANPD sejam cumpridas dentro do prazo estabelecido. Os agentes de tratamento que não solucionarem violações apontadas em notificação ou advertência também estarão sujeitos às multas diárias.

Além destes, também serão punidos com multas diárias aqueles que obstruírem as atividades de fiscalização ou que mantiverem infrações permanentes e não-cessadas até decisão judicial.

Sobre o pagamento de multas simples ou multas diárias

O pagamento das multas – simples ou diárias – deve ocorrer dentro do prazo de 20 dias úteis. No entanto, a contagem destes 20 dias úteis é diferente para as multas simples e multas diárias.

Multa Simples: 20 dias a partir da ciência da decisão de aplicação da sanção.

Multa Diária: 20 dias a partir da decisão que apurou o montante devido.

Também é importante ressaltar que Agentes de Tratamento de Pequeno Porte têm direito ao prazo em dobro, de acordo com o que já publicamos nesta matéria aqui.

E há mais um ponto importantíssimo sobre as multas simples e diárias: os infratores que renunciarem ao direito de recurso à decisão recebem 25% de desconto sobre o valor total da multa aplicada, contanto que o débito seja quitado dentro do prazo legal.

Publicidade da infração

A punição de publicização da infração obriga o próprio infrator a divulgar a violação praticada. Esta divulgação será definida pela decisão judicial, que indicará o teor da mensagem, os meios de divulgação, a duração da campanha e os prazos para cumprimento da decisão.

Cabe ressaltar que a punição de publicização da infração não deve ser confundida com a publicação da decisão no Diário Oficial da União.

A ANPD inclusive divulgou recentemente em seus canais a lista de empresas e órgãos públicos que estão com processos em andamento. Quando estes processos forem finalizados, a Coordenação Geral de Fiscalização e a Assessoria de Comunicação da Autoridade Nacional de Proteção de Dados criarão uma página no site da ANPD para disponibilizar as decisões ao conhecimento da população em geral.

Bloqueio de dados pessoais

Dentre as punições da LGPD, o bloqueio de dados pessoais é uma das primeiras sanções consideradas “pesadas”. Essa sanção consiste na suspensão temporária de qualquer operação de tratamento de dados pessoais relacionados à infração até a regularização.

O infrator deve, ainda, comunicar imediatamente o bloqueio dos agentes de tratamento que eventualmente tenham compartilhado os dados relacionados para que também realizem o referido bloqueio.

O desbloqueio das operações de tratamento de dados só serão realizados após a comprovação de regularização e retorno à conformidade junto a ANPD.

Eliminação de dados pessoais

O próximo grau de punição da LGPD prevê a exclusão de dados pessoais ou conjunto de dados armazenados em bancos de dados. Os infratores punidos devem comunicar imediatamente a todos os agentes de tratamento de dados que porventura tenham compartilhado os dados pessoais relacionados à infração para que também executem a referida eliminação de seus respectivos bancos de dados.

Suspensão parcial do funcionamento do banco de dados

Seguindo adiante, o próximo nível de punição da LGPD prevê a suspensão parcial do funcionamento do(s) banco(s) de dados onde ocorreram as infrações. Essa suspensão pode ocorrer pelo período máximo de seis meses, prorrogável por mais seis meses até a regularização.

O restabelecimento do funcionamento normal só será realizado após a comprovação de regularização da conduta junto a ANPD.

Suspensão do exercício da atividade de tratamento de dados pessoais

Esta sanção prevê a suspensão do tratamento de dados pessoais por parte do infrator pelo período máximo de seis meses, prorrogável por mais seis meses. A retirada da suspensão só ocorrerá após a comprovação de regularização das infrações junto a ANPD.

Proibição – parcial ou total – de atividades relacionadas ao tratamento de dados pessoais

A mais pesada das punições da LGPD consiste no impedimento parcial ou total das atividades relacionadas ao tratamento de dados pessoais. Este tipo de sanção pode ser aplicada quando houver reincidência em infração de suspensão parcial, ocorrer tratamento de dados com fins ilícitos, sem base legal ou o infrator não atender às recomendações técnicas para o tratamento adequado.

Estas punições podem ser retroativas?

A resposta curta é: sim. Na prática, as punições da LGPD já estão valendo desde agosto de 2021. Portanto, violações do regramento já se encontravam sujeitas à aplicação de sanções pecuniárias e não-pecuniárias a partir desta data. No entanto, ainda faltavam definições para o devido processo legal – como a dosimetria – para a efetiva aplicação das penas.

Isso significa que denúncias feitas à ANPD a partir de agosto de 2021 agora podem ser plenamente analisadas e, quando0 necessário, punidas.

Mas cabe lembrar que as penalizações só serão aplicadas ao final do processo legal, com acesso à ampla defesa e a ao contraditório, havendo condenação. Portanto, as penas só serão aplicadas após decisão judicial.

ANPD promete “pegar leve” inicialmente e educar antes de punir

A ANPD apresenta-se à sociedade como uma autoridade que promove a educação e a conciliação antes da aplicação de punições efetivas. Isso significa que, ao advertir um controlador de dados, a Autoridade Nacional de Proteção de Dados dará um caminho a ser seguido e um prazo para a correção das infrações apontadas.

A LGPD propõe multas e publicidade das infrações somente após a verificação de que as recomendações fornecidas na advertência inicial não foram cumpridas. Em caso de insucesso no retorno à conformidade com o regramento, as punições ficam gradualmente mais severas e podem levar até a proibição total ou parcial do tratamento de dados por parte do agente transgressor.

Precisa de ajuda especializada com LGPD?

A Rastek Soluções em TI é uma das pioneiras no mercado sul brasileiro de adequação à Lei Geral de Proteção de Dados. Com um amplo espectro de certificações e cases de sucesso de implementação, a empresa fornece uma solução full service, compreendendo desde a análise e mapeamento de dados até a gestão continuada da LGPD após a conclusão da adequação.

Além disso, a Rastek também é especializada em Segurança da Informação para garantir a inviolabilidade dos dados da empresa, e fornece também programas de Conscientização & Treinamento indispensáveis para a disseminação do conhecimento necessário para o sucesso de um projeto de adequação à LGPD.

Portanto, se você está em busca de um parceiro sólido, confiável e com experiência comprovada em adequação e gestão da LGPD, basta preencher o formulário abaixo e aguardar o contato de nossa equipe!

     

    Leia também

    DPO as a service: o que é, como funciona e quanto custa?

     

    Compartilhar Post

    Autor

    Alexandre Bertolazi

    Jornalista da Multivibe Marketing & Inteligência Digital. Apaixonado por tecnologia desde seu primeiro PC IBM Aptiva Pentium 100MHz (1995).

    Deixe uma resposta

    Voltar

    Posts Relacionados

    Conscientização e Treinamento em LGPD
    11jul

    Hacker Rangers: Conscientização e Treinamento em LGPD

    O mês de junho marcou a implantação do programa interno de Conscientização e Treinamento em LGPD da Rastek Soluções. Em parceria... continuar lendo

    DPO Data Protection Officer Rastek Soluções em TI
    11set

    LGPD em vigor: o que faz o DPO Data Protection Officer

    Se "os dados são o novo ouro", eles precisam ser protegidos como tal. A Lei Geral de Proteção de Dados... continuar lendo

    16abr

    GRC: Governança, Risco e Compliance para PME’s

    Talvez você já tenha ouvido falar em GRC, talvez não. GRC é uma sigla para Governança, Risco e Compliance, um... continuar lendo

    Teste de Invasão Rastek Soluções em TI
    24set

    PenTest: o que é e pra quê serve um Teste de Invasão?

    A Segurança de TI é, cada vez mais, um fator estratégico para empresas de todos os portes. Os avanços tecnológicos,... continuar lendo