No último dia 27, a Autoridade Nacional de Proteção de Dados (ANPD) publicou a Resolução que aprova o Regulamento de Dosimetria e Aplicação de Sanções Administrativas, com intuito de tornar a aplicação de sanções por violação à Lei Geral de Proteção de Dados (LGPD) mais objetiva e eficiente.
Mas por que você deveria saber sobre a dosimetria das sanções da LGPD? Principalmente, para diminuir os riscos da sua operação.
01. QUAIS SÃO AS SANÇÕES DA LGPD?
O tratamento de dados pessoais é atividade que indissociavelmente faz parte da rotina da imensa maioria de empresas brasileiras, independente do porte ou segmento de mercado. De grandes grupos empresariais a pequenas e médias empresas, tratar dados pessoais de clientes, colaboradores ou parceiros de negócios é essencial para o seu empreendimento, na medida em que tais informações otimizam processos e impulsionam o crescimento da empresa.
Nesse contexto, dada a relevância e a sensibilidade do tema, a LGPD estabelece uma série de obrigações que devem ser observadas e seguidas por qualquer empresa que queira tratar dados pessoais. Caso contrário, do tratamento em desconformidade com as disposições legais, sua empresa pode sofrer com as seguintes sanções administrativas:
- Advertência, com indicação de prazo para adoção de medidas corretivas;
- Multa simples, de até 2% do faturamento da empresa ou grupo empresarial em seu último exercício, excluídos os tributos e limitada a R$50 milhões por infração;
- Multa diária, observado o limite de até 2% do faturamento e o teto de R$50 milhões;
- Publicização da infração;
- Bloqueio dos dados pessoais referentes à infração até a adoção das medidas corretivas;
- Eliminação dos dados pessoais referentes à infração;
- Suspensão parcial do banco de dados referente à infração por até seis meses, prorrogáveis por mais seis, até a regularização da atividade;
- Suspensão do exercício da atividade de tratamento referente à infração por até seis meses, prorrogáveis por mais seis;
- Proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
Em um contexto de negócios cada vez mais conectado, em que o valor de dados pessoais aumenta gradativamente, o tratamento em desconformidade com as disposições da LGPD pode ter consequências catastróficas para o seu negócio. Tais consequências podem variar desde mera advertência e multa em dinheiro – o que pode comprometer o caixa da empresa – ao bloqueio, eliminação ou proibição do tratamento de dados pessoais.
Hoje, qual o efeito para a imagem da sua empresa, com a publicização de violação à LGPD, ou, ainda, em se perder uma valiosíssima base de dados de clientes, por exemplo?
02. CLASSIFICAÇÃO DAS INFRAÇÕES
Nos termos do Regulamento, as infrações à LGPD serão classificadas como de natureza leve, média ou grave.
| Leve | – quando, por exclusão, não se verificar alguma das hipóteses de natureza média ou grave. |
| Média | – quando a infração possa afetar significativamente interesses e direitos fundamentais do titular de dados, por meio do impedimento ou da limitação do exercício de direitos ou da utilização de um serviço; ou – quando ocasionar danos materiais ou morais ao titular. |
| Grave | – quando envolver tratamentos de dados pessoais em larga escala; – quando o infrator auferir ou pretender auferir vantagem econômica em razão da infração cometida; – quando a infração represente risco à vida do titular; – quando a infração envolva dados sensíveis ou dados de crianças, adolescentes ou de idosos; – quando o infrator realizar tratamento de dados sem base legal, nos termos dos arts. 6º ou 11 da LGPD; – quando tratamento seja realizado com efeitos discriminatórios ilícitos ou abusivos; ou se verificada a utilização sistemática de práticas irregulares pelo infrator. |
Para aplicação da infração como de natureza grave, as hipóteses acima elencadas devem ser cumulativas com as hipóteses da infração de natureza média. Também pode ser qualificada como de natureza grave a infração que seja qualificada comoobstrução à atividade de fiscalização pelo órgão regulador.
A aplicação de multa, em especial, poderá ocorrer nos seguintes casos:
(i) o infrator não atenda às eventuais advertências impostas no prazo estabelecido pela ANPD;
(ii) a infração seja classificada como grave; ou
(iii) pela natureza da infração, da atividade de tratamento ou dos dados pessoais envolvidos, tendo em vista as circunstâncias do caso concreto.
03. ENTENDA O CÁLCULO POR TRÁS DA RESOLUÇÃO
Para empresas sem faturamento, como startups que ainda não passaram pelo ponto de equilíbrio financeiro (breakeven), o valor mínimo de multa a ser aplicada é de R$1.000,00 para infração leve, R$2.000,00 para infração média e R$4.000,00 para infração grave.
Há, ainda, a possibilidade no acréscimo do valor da multa de:
- 5% do valor da multa para casos de reincidência na infração, até o limite de 20%;
- 10% do valor da multa para casos de reincidência específica na infração, até o limite de 40%;
- 20% para o descumprimento de cada medida preventiva descumprida durante o processo de fiscalização ou o processo preparatório, prévio ao processo administrativo, até o limite de 80%;
- 30% para cada medida corretiva descumprida, até o limite de 90%.
Nesse contexto, a reincidência específica é qualificada como a repetição de infração pelo mesmo infrator à mesma obrigação legal ou regulamentar, no período de cinco anos. Já a reincidência genérica consiste no cometimento de infração pelo mesmo infrator, independentemente da obrigação legal ou regulamentar violada anteriormente, também considerando um período de cinco anos.
A cessação da infração, a implementação de políticas de boas práticas e de governança, bem como de procedimentos internos capazes de minimizar danos aos titulares de dados, ou mesmo medidas capazes de reverter ou de minimizar os efeitos da infração sobre o titular afetado, podem reduzir o valor da multa em 5% a 75%.
A aplicação das demais sanções dependerá de avaliação das particularidades de cada caso, considerando o grau da infração cometida, o impacto aos direitos dos titulares, a complexidade na regularização da atividade e o interesse público envolvido, dentre outros fatores que podem ser relevantes, variando de caso a caso.
Ainda, vale destacar que a aplicação de qualquer sanção dependerá de processo administrativo, no qual a ANPD. O acusado terá a possibilidade de se defender, com a garantia dos direitos e princípios processuais da legislação brasileira, como ampla defesa, o contraditório e o devido processo legal.
CONCLUSÃO
O estabelecimento de critérios mais claros para a aplicação e dosimetria de sanções é fundamental, pois garante maior transparência aos processos de sanções administrativa.
Portanto, a publicação do Regulamento de Dosimetria e Aplicação de Sanções Administrativas da ANPD acende o farol amarelo para empresas e demais agentes de tratamento de dados pessoais. Ela indica a tendência da Autoridade Reguladora de maior robustez na fiscalização e na aplicação das sanções.
Caso queira continuar conversando sobre o assunto, tenha alguma dúvida ou queira minimizar os riscos do seu negócioo, entre em contato conosco pelo e-mail contato@aguilaradvocacia.com ou pelo WhatsApp clicando aqui.
Leia Também:
LGPD simplificada para Startups
Saiba quando e como elaborar um Acordo de Confidencialidade (NDA)
