Sanções da ANPD: o papel da retenção de dados na conformidade com a LGPD

A prática de Record Keeping, ou retenção de dados, que corresponde ao gerenciamento do armazenamento de registros de forma segura e em conformidade com a LGPD, é um fator mitigante para a definição das penalidades administrativas previstas em caso de não cumprimento à Lei

Compartilhar:

*Por Alexandre Tamura e Aline Silva Noleto

 

A Autoridade Nacional de Proteção de Dados (ANPD) publicou recentemente o Regulamento de Dosimetria e Aplicação de Sanções Administrativas, conhecido como “norma de dosimetria”, que estabelece parâmetros e critérios para aplicação de penalidades por descumprimento à Lei Geral de Proteção de Dados (LGPD), reforçando a capacidade de fiscalização e atuação sancionadora da ANPD.

 

Nesse sentido, a prática de Record Keeping, ou retenção de dados, que corresponde ao gerenciamento do armazenamento de registros de forma segura e em conformidade com a legislação, é um fator mitigante para a definição das penalidades administrativas previstas em caso de não cumprimento da LGPD.

 

Isso porque uma retenção de dados adequada, que define prazos de guarda e eliminação de dados que não possuem mais finalidade para o negócio, além de contribuir para a economia com infraestrutura, protege interesses de clientes, apoia a responsabilidade e transparência da empresa, mantém a privacidade e a confidencialidade, além de reduzir riscos de incidentes de dados.

 

A norma de dosimetria da ANPD avalia a gravidade da infração com base em vários critérios, como a natureza e a gravidade dos dados pessoais afetados e a intencionalidade da violação, entre outros.

 

Os parâmetros e critérios para a definição das sanções são estabelecidos levando em consideração fatores como a adoção reiterada de mecanismos e procedimentos internos de minimização de danos, a boa-fé do infrator e a reincidência específica. Dessa forma, a adoção de mecanismos de Record Keeping, assim como um desenho de processos para a coleta e o tratamento de mínimo de dados, poderá ser considerada, mesmo numa situação de incidente, como fator mitigante.

 

A norma considera como agravante o tratamento de dados em grande volume, duração, frequência e extensão geográfica amplas, enquanto a realização de tratamento de dados pessoais sem amparo em uma das hipóteses legais previstas na LGPD é outro fator negativo. A retenção adequada de dados pode ser um fator mitigante, já que uma empresa que retém apenas os dados necessários e com base legal pode argumentar que tomou medidas para cumprir a LGPD e, portanto, reduzir o impacto de uma eventual sanção.

 

A ANPD pode, ainda, reduzir a sanção se a empresa cooperar com a autoridade durante o processo de investigação e fornecer informações relevantes para a resolução da infração. Novamente, a manutenção de registros adequados pode ajudar a empresa a fornecer dados para a ANPD durante o processo de investigação, colaborando com transparência.

 

Por fim, o histórico de conformidade da empresa também é considerado pela ANPD na determinação da gravidade da infração e da sanção a ser aplicada. Se uma empresa mantiver registros precisos e completos de suas atividades de processamento de dados pessoais, isso pode demonstrar antecedentes de conformidade com a LGPD e ajudar a mitigar a sanção.

 

É importante destacar que o Record Keeping deve ser uma prática contínua e sistemática, com ações de monitoramento e atualização dos registros para garantir que a empresa esteja sempre em conformidade com a legislação e pronta para colaborar com a ANPD em caso de investigação de incidentes de dados.

 

*Alexandre Tamura é gerente sênior e Aline Silva Noleto é consultora, ambos da área de Data Privacy da Protiviti

 

Conteúdos Relacionados

Security Report | Overview

Itaú Unibanco lança campanha nacional de Marketing sobre Segurança e fraudes

Filmes serão exibidos na programação da TV Globo; campanha faz parte da estratégia para posicionamento do Itaú como banco referência...
Security Report | Overview

Brasil é uma das principais origens de ataques de DoS, aponta levantamento

Relatório da ISH Tecnologia também apresenta tentativas de logins mais usadas por criminosos, entre outros dados
Security Report | Overview

27% dos ataques cibernéticos na América Latina miram infraestrutura crítica

Pesquisa da Kaspersky também revela problemas no setor de transporte e manufatura
Security Report | Overview

Paris 2024: pesquisa revela que os Jogos estão em alto risco de ciberataques

De acordo com a Unit 42, os ciberataques são as principais ameaças ao evento esportivo mais importante do ano, com...