*Por Alexandre Tamura e Aline Silva Noleto
A Autoridade Nacional de Proteção de Dados (ANPD) publicou recentemente o Regulamento de Dosimetria e Aplicação de Sanções Administrativas, conhecido como “norma de dosimetria”, que estabelece parâmetros e critérios para aplicação de penalidades por descumprimento à Lei Geral de Proteção de Dados (LGPD), reforçando a capacidade de fiscalização e atuação sancionadora da ANPD.
Nesse sentido, a prática de Record Keeping, ou retenção de dados, que corresponde ao gerenciamento do armazenamento de registros de forma segura e em conformidade com a legislação, é um fator mitigante para a definição das penalidades administrativas previstas em caso de não cumprimento da LGPD.
Isso porque uma retenção de dados adequada, que define prazos de guarda e eliminação de dados que não possuem mais finalidade para o negócio, além de contribuir para a economia com infraestrutura, protege interesses de clientes, apoia a responsabilidade e transparência da empresa, mantém a privacidade e a confidencialidade, além de reduzir riscos de incidentes de dados.
A norma de dosimetria da ANPD avalia a gravidade da infração com base em vários critérios, como a natureza e a gravidade dos dados pessoais afetados e a intencionalidade da violação, entre outros.
Os parâmetros e critérios para a definição das sanções são estabelecidos levando em consideração fatores como a adoção reiterada de mecanismos e procedimentos internos de minimização de danos, a boa-fé do infrator e a reincidência específica. Dessa forma, a adoção de mecanismos de Record Keeping, assim como um desenho de processos para a coleta e o tratamento de mínimo de dados, poderá ser considerada, mesmo numa situação de incidente, como fator mitigante.
A norma considera como agravante o tratamento de dados em grande volume, duração, frequência e extensão geográfica amplas, enquanto a realização de tratamento de dados pessoais sem amparo em uma das hipóteses legais previstas na LGPD é outro fator negativo. A retenção adequada de dados pode ser um fator mitigante, já que uma empresa que retém apenas os dados necessários e com base legal pode argumentar que tomou medidas para cumprir a LGPD e, portanto, reduzir o impacto de uma eventual sanção.
A ANPD pode, ainda, reduzir a sanção se a empresa cooperar com a autoridade durante o processo de investigação e fornecer informações relevantes para a resolução da infração. Novamente, a manutenção de registros adequados pode ajudar a empresa a fornecer dados para a ANPD durante o processo de investigação, colaborando com transparência.
Por fim, o histórico de conformidade da empresa também é considerado pela ANPD na determinação da gravidade da infração e da sanção a ser aplicada. Se uma empresa mantiver registros precisos e completos de suas atividades de processamento de dados pessoais, isso pode demonstrar antecedentes de conformidade com a LGPD e ajudar a mitigar a sanção.
É importante destacar que o Record Keeping deve ser uma prática contínua e sistemática, com ações de monitoramento e atualização dos registros para garantir que a empresa esteja sempre em conformidade com a legislação e pronta para colaborar com a ANPD em caso de investigação de incidentes de dados.
*Alexandre Tamura é gerente sênior e Aline Silva Noleto é consultora, ambos da área de Data Privacy da Protiviti
