Por Lucas Anjos, advogado e Data Protection Officer (DPO)
A Autoridade Nacional de Proteção de Dados (ANPD) publicou no último dia 27 de fevereiro o novo Regulamento para tratar da aplicação de sanções administrativas previstas na Lei Geral de Proteção de Dados (LGPD). O ato normativo representa um marco para a Política Nacional de Proteção de Dados e da Privacidade, pois, em complemento ao Regulamento n.º 1/2021, que estabeleceu os procedimentos de fiscalização e o processo administrativo sancionador no âmbito da ANPD, conclui os atos normativos necessários para viabilizar, de fato, a aplicação da Lei.
O movimento de conformidade com a LGPD entre as organizações e pessoas naturais que tratam dados pessoais para fins econômicos, desde a sua vigência, se revela carente de maior importância. Isso porque estabelecer um gerenciamento efetivo sobre o ciclo de vida dos dados pessoais não é uma tarefa fácil, além de demandar significativa alocação de recursos financeiro e humano.
Soma-se a estes motivos o cenário econômico nacional, bem como, o fato de que a Lei fora sancionada com inúmeros dispositivos pendentes de regulamentação posterior. Ao estudar a legislação, o leitor se deparou com diversas menções à: “a informação de que trata o caput deste artigo será objeto de regulamentação”.
Neste sentido, já previa o Artigo 53, que a “Autoridade Nacional definirá, por meio de regulamento próprio sobre sanções administrativas a infrações desta Lei, que deverá ser objeto de consulta pública, as metodologias que orientarão o cálculo do valor-base das sanções de multa”. Com isso, estavam previstos para posterior regulamentação os seguintes pontos: a) apresentação objetiva sobre as formas e dosimetrias do valor-base das sanções de multa; e b) o valor das sanções de multa diária.
O novo Regulamento é resultado da consulta pública junto à sociedade civil realizada entre 15 de agosto e 15 de setembro de 2022 e audiência pública na qual recebeu 24 contribuições. Tem como escopo regulamentar o método que orienta a escolha da sanção mais apropriada para cada caso concreto em que houver violação à LGPD e permite calcular, quando cabível, o valor da multa ao infrator. Este método é chamado de “Dosimetria”.
O regulamento também cumpre uma importante função para garantia da segurança jurídica, na medida em que, partindo da publicação da metodologia de definição do valor da multa com a indicação clara das situações que levam a um menor ou maior grau de dano, as organizações podem utilizar tais fatores para incrementar seu Programa de Governança em Privacidade no que tange à análise de risco atrelada a uma atividade de tratamento.
O valor da multa terá como um de seus principais pilares a identificação do grau de dano decorrente da infração à LGPD. Foram estabelecidos quatro níveis de grau de dano, sendo: 0 — quando a infração não ocasiona danos ou somente danos com impactos insignificantes aos titulares, que decorrem de situações que não justificam qualquer compensação; 1 — quando a infração ocasiona lesão ou ofensa a direitos em um número reduzido de titulares, com impacto material e moral limitado e que pode ser revertido em compensação com relativa facilidade. Ou ainda por descumprimento dos prazos legais para atendimento das solicitações dos titulares, sem prejuízo direto para o processo de fiscalização ou para terceiros, e que não decorra de má-fé; 2- nas hipóteses em que a infração ocasiona lesão ou ofensa a direitos dos titulares, que geram impactos aos titulares, material ou moral, que não se enquadram nos graus 0, 1 e 3. Ou quando o dano decorrente do envio de comunicações intempestivas ou cumprimento intempestivo de um direito do titular trazer prejuízo direto para o processo de fiscalização ou para terceiros e que não decorra de litigância de má-fé; e 4- nos casos em que a infração gerar lesão ou ofensa a direitos do titular, tendo impactos irreversíveis ou de difícil reversão, de ordem material ou moral, ocasionando, entre outras situações, discriminação, violação a integridade física, ao direito de imagem e reputação, fraudes financeiras ou uso indevido de identidade. Ou quando se verificar danos decorrentes de má-fé.
A partir deste regulamente, espera-se que sejam iniciadas e intensificadas as ações de fiscalização e aplicação efetiva das sanções administrativas previstas na LGPD. A partir disso, as organizações afetadas pela norma devem dedicar atenção especial para atingir certo grau de maturidade na gestão dos dados pessoais que tutela, a fim de conseguir cumprir e as obrigações previstas na Lei, além de manter um programa de prestação de contas e transparência sobre sua conformidade.
Fonte: ABEINFO – Associação de Empresas e Profissionais da Informação, 6 de março de 2023
