Na manhã desta segunda-feira (27), foi publicado o Regulamento de Dosimetria e Aplicação de Sanções Administrativas pela Autoridade Nacional de Proteção de Dados (ANPD). A chamada “norma de dosimetria” foi bastante esperada pela sociedade, por tratar da atuação sancionadora da ANPD, proporcionando, assim, o devido reforço à atuação fiscalizatória da Autoridade.
A aprovação aconteceu em deliberação eletrônica do Conselho Diretor da ANPD e trouxe, também, alteração da Resolução ANPD nº 1, que trata das regras para o processo de fiscalização e para o processo administrativo sancionador da Autoridade. O relator da matéria, o Diretor Arthur Sabbat, teve seu posicionamento acatado por unanimidade e a decisão foi formalizada em Ata de Circuito Deliberativo do Diretor-Presidente, Waldemar Gonçalves.
Na visão de Patrícia Peck, CEO e Founder Partner da Peck Advogados, após a publicação, o primeiro impacto é dar a largada na aplicação das sanções, em especial nas multas. Ela destaca que a publicação do Regulamento de Dosimetria era o último estágio necessário para que a Autoridade colocasse em prática esse item tão aguardado, uma decisão que irá agitar o mercado, segundo Patrícia, tendo em vista que muitas organizações ainda não se adequaram à LGPD. Em caso de infração, a multa deverá ser paga no prazo de até 20 dias úteis, contados a partir da ciência oficial da decisão de aplicação de sanção.
“Também houve alterações na Resolução ANPD nº1, que trata das regras para o processo de fiscalização e para o processo administrativo sancionador da Autoridade. Logo, viramos a página e era a parte que faltava para embasar a atuação fiscalizatória da ANPD, junto com o regimento interno e o regulamento administrativo sancionador”, diz a especialista em entrevista à Security Report.
Segundo ela, o ponto forte do processo foi a consulta pública, que contou com mais de 2 mil contribuições para a criação do regulamento de dosimetria. “Com a entrada em vigor imediatamente após a sua publicação, esse regulamento constitui mais uma importante ferramenta à proteção de dados pessoais no Brasil”, acrescenta Patrícia.
Sobre o impacto inicial da Dosimetria, Guilherme Guimarães, Advogado e Sócio fundador do Guilherme Guimarães Advogados Associados e da Datalege Consultoria Empresarial, avalia que as empresas que não se adequaram irão iniciar esse processo, já que não há desculpas para postergar a adequação, pois a LGPD “pegou” e a ANPD se encontra pronta para executar suas atribuições.
Multa em caso de infração
Uma das principais dúvidas do regulamento é, sem dúvidas, o valor das multas em casos de infrações. Segundo Patrícia, a aplicação de sanções seguirá um conjunto de critérios, sendo ele de natureza pecuniária ou não. Para as pecuniárias, por exemplo, haverá situações agravantes e atenuantes, que serão analisadas para aumentar ou diminuir o valor da sanção.
“Os valores de cálculo envolverão uma fórmula criada pela ANPD, que considera o tipo de infração (leve, média ou grave) e o valor-base x (1+agravantes-atenuantes). Tudo deve ocorrer dentro do processo administrativo sancionador, com contraditório e ampla defesa. As decisões da ANPD bem como as intimações das multas ocorrerão com publicação em diário oficial”, explica a profissional.
Dr. Guilherme Guimarães, explica que os valores arrecadados com a aplicação das multas serão destinados ao Fundo de Defesa de Direitos Difusos, que têm por finalidade a reparação dos danos causados ao meio ambiente, ao consumidor, a bens e direitos de valor artístico, estético, histórico, turístico, paisagístico, por infração à ordem econômica e a outros interesses difusos e coletivos.
“Este é um ponto que merece reflexão, afinal, após 5 anos da promulgação da Lei e 3 anos de vigência, o ideal seria que o valor das multas arrecadadas fosse direcionado para realizar campanhas educativas, fomentar a cultura de proteção de dados e ser direcionado inclusive para estruturação e capacitação da própria Autarquia (ANPD). Vamos ver se, para o futuro, isso será revisto”, menciona Patrícia.
Ainda sobre esse ponto das infrações, Patrícia Peck chama atenção ao regulamento, que menciona em natureza da infração, ou seja, se leve (pouco ou nenhum dano), média (dano relevante, pode afetar direitos fundamentais) e grave (larga escala, dados sensíveis, crianças, adolescentes e idosos, risco para a vida do titular, ausência de base legal, tratamento com efeitos discriminatórios ilícitos ou abusivos, adoção sistemática de práticas irregulares, obstrução da atividade de fiscalização).
“Nesse sentido, um vazamento de dados pessoais será analisado considerando a sua forma de ocorrência, o perfil da base de dados, a sua volumetria, o grau de dano para enquadrar se constitui uma infração leve, média ou grave e isso influenciará no tipo de sanção a ser aplicada. Ao setor público não é possível aplicar multas pecuniárias, mas pode ocorrer a aplicação de outras sanções como o bloqueio das atividades de tratamento e a publicização”, completa a CEO e Founder Partner da Peck Advogados.
Os próximos passos
Após muitas expectativas para a publicação da Dosimetria, as empresas que não se adequaram terão uma pressão ainda maior. De acordo com Guilherme Guimarães, essas organizações deverão fazer isso o quanto antes, pois a ANPD está pronta para cumprir com suas obrigações. Ele ressalta que a Autoridade levará em consideração a implementação de normas e processos internos adotados pela empresa que assegure o cumprimento abrangente da legislação de proteção de dados pessoais, mediante a adoção de regras de boas práticas e de governança ou programa de governança em privacidade, nos termos do art. 7º da norma.
“Além disso, a aplicação de multa simples ocorrerá caso o infrator não tenha aplicado as medidas preventivas. A norma estabelece, inclusive, como atenuante a adoção de política de boas práticas e de governança ou de adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar os danos aos titulares. Assim, uma empresa somente será penalizada se optar por se manter totalmente alheia à LGPD. Aquelas que buscarem a adequação, podem ser advertidas, mas terão como se defender”, afirma Guimarães.
Para Patrícia, haverá a possibilidade de aplicação de sanções após o processo sancionador, sejam elas pecuniárias ou não, com critérios legítimos e condições de defesa do infrator. Isso eleva a atividade da ANPD ao que realmente foi disposto na LGPD, podendo agir com plenos poderes fiscalizatórios e de punição, sendo decisivo neste momento que alcançar a posição de Autarquia Federal é um importante passo para fortalecer o enforcement.
“O Regulamento de dosimetria entra em vigor na data da sua publicação, ou seja, desde 27 de fevereiro de 2023 já podemos começar a ter notícia de quem será o primeiro multado da LGPD, é só aguardar, pois também se aplica aos casos que já estão em curso. Além disso, há um destaque especial para o prazo de 5 anos previsto para configurar a reincidência, que pode ser quando o infrator cometer mesma infração ou se incorrer em violação de qualquer outra disposição”, finaliza Patrícia.
*Com informações da ANPD
