Regulamento de Dosimetria e Sanções Administrativas da LGPD

fevereiro 28, 2023

No dia 27/02/2023 foi publicado pela Autoridade Nacional de Proteção de Dados (ANPD) o Regulamento de Dosimetria e Aplicação de Sanções Administrativas da Lei Geral de Proteção de Dados (LGPD), a Resolução CD/ANPD Nº 4.

A elaboração do regulamento de dosimetria foi prevista pelo art.53 da LGPD e é um requisito para a aplicação de multas pela Autoridade Nacional de Proteção de Dados e tem por objetivos regulamentar os artigos 52 e 53 da LGPD e alterar os artigos 32, 55 e 62 da Resolução nº 1º CD/ANPD, onde visa, a elaboração dos requisitos para aplicação de multa pela ANPD.

A elaboração do Regulamento foi gerada por meio de consulta pública e audiência pública. À vista disso, o Diretor Arthur Sabbat, por meio de sorteio, foi escolhido para criar o relatório daquilo que foi consultado. Após, o processo foi encaminhado aos demais diretores, que por meio de votação eletrônica, aprovaram o documento, que foi encaminhado, para encerramento, para assinatura do Diretor-presidente Waldemar Gonçalves e publicado pelo Diário Oficial da União, no dia 27/02/2023.

O que é dosimetria?

Dosimetria é a medida e cálculo para definir a pena que a pessoa foi condenada. De acordo com a LGPD, a pessoa física ou jurídica, que descumprir o disposto na Lei Geral de Proteção de Dados, pode vir a ser penalizada. Sendo assim, a Resolução CD/ANPD Nº 4 foi publicada para conduzir a escolha e peso da sanção aplicada em cada caso.

A dosimetria busca garantir a proporcionalidade entre a sanção aplicada e a gravidade da conduta do agente. Para cada irregularidade a lei tem a sua pena, mínima e máxima, a situação do ato implica no quantitativo que vai ser imposta essa penalidade, para que seja, de certa forma, justo a aplicação de cada uma.

O que deve ser considerado no momento de aplicação da pena da LGPD?

As sanções serão aplicadas visando caso a caso. O Artigo 7° do Anexo da Resolução CD/ANPD Nº 4, traz os fatores que devem ser considerados sobre a infração cometida no momento da aplicação da pena:

A gravidade e a natureza das infrações e dos direitos pessoais afetados;
A boa-fé do infrator;
A vantagem auferida ou pretendida pelo infrator;
A condição econômica do infrator;
A reincidência específica;
O grau do dano, nos termos do Apêndice I deste Regulamento;
A cooperação do infrator;
A adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados, em consonância com a LGPD;
A adoção de política de boas práticas e governança;
A pronta adoção de medidas corretivas; e
A proporcionalidade entre a gravidade da falta e a intensidade da sanção.

Com essa proporcionalidade as sanções serão divididas em leve, média e grave. Sendo média quando: 1. afetar significativamente os interesses e direitos fundamentais dos titulares dos dados; 2. limitar ou impedir o titular de exercer seus direitos ou utilizar um serviço; 3. gerar danos morais ou matérias, tais como discriminação, violação à integridade física, ao direito à imagem, à reputação, fraudes financeiras; 4. uso indevido de identidade, desde que não seja classificada como grave.

A infração será considerada grave quando: cumulativamente com o considerado pena média, 1. envolver tratamento de dados em grande escala; 2. quando o infrator extrair vantagem econômica; 3. provocar risco de vida; 4. se o incidente envolver dados sensíveis, dados de crianças, adolescentes ou idosos; 5. tratamento dos dados não tiver apoio de alguma das hipóteses legais; 6. o infrator efetuar tratamento com efeitos discriminatórios ilícitos ou abusivos; 7. a adoção de sistemática de práticas irregulares pelo infrator; 8. caso haja obstrução da atividade de fiscalização.

Já a penalidade leve ocorrerá em caso que não for verificada nenhuma das hipóteses dispostas nas outras penas.

Quando serão aplicadas cada tipo de sanção da LGPD?

A LGPD traz em seu escopo diversas sanções, que poderão ser aplicadas em caso de descumprimento da Lei, são elas:

I – Advertência: A aplicação da advertência poderá ser aplicada quando a infração for leve ou média e não e não houver reincidência específica ou quando possuir a necessidade de medidas corretivas.
II - Multa simples: Pode ser aplicado a multa simples quando o infrator não atende os pedidos de medidas preventivas ou corretivas que foram impostas, dentro do prazo. Pode ser aplicada caso a infração seja considerada grave ou ainda pela análise das circunstâncias não couber aplicar outra sanção.
III - Multa diária: A multa diária é aplicada para assegurar o cumprimento, no prazo, de uma determinação que foi estabelecida pela ANPD.
IV - Publicização da infração: Assim que comprovado o incidente, em caso de interesse público, a ANPD poderá implicar a divulgação da sua ocorrência, contendo o teor, o meio, a duração e o prazo para cumprimento.
IV - Publicização da infração: Assim que comprovado o incidente, em caso de interesse público, a ANPD poderá implicar a divulgação da sua ocorrência, contendo o teor, o meio, a duração e o prazo para cumprimento.
V - Bloqueio dos dados pessoais a que se refere a infração: Na sanção de bloqueio de dados pessoais, o infrator tem a suspensão temporária das operações de tratamento com dados pessoais, até a regularização do incidente. Devendo comunicar imediatamente os agentes de tratamento de dados para que também suspendam o manuseio dos dados.
VI - Eliminação dos dados pessoais a que se refere a infração: Neste caso, o controlador deverá excluir todos os dados armazenados no banco de dados, devendo avisar todos os agentes de tratamento de dados para repetir o procedimento, imediatamente.
VII - Suspensão parcial do funcionamento do banco de dados a que se refere a infração: Suspensão parcial do tratamento dos dados pessoais, implica a descontinuação de parte do tratamento de dados que estão sendo utilizados erroneamente. Está sanção tem o prazo máximo de 6 meses, podendo ser prorrogado por igual período, até a regularização da atividade.
VIII - Suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração: O objetivo da suspensão do exercício de atividade de tratamento dos dados pessoais é assegurar o cumprimento das normas legais e regulamentares, tendo o prazo de 6 meses, podendo ser prorrogado por igual período, até a regularização da atividade.
IX - Proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados:Incide na proibição parcial ou total das atividades do tratamento dos dados pessoais, no caso de haver incidência de infração, já punida anteriormente, com suspensão parcial do funcionamento do banco de dados ou de suspensão do exercício da atividade de tratamento dos dados pessoais. Pode haver a proibição ainda quando o tratamento de dados pessoais acontece para fins ilícitos, ou sem amparo em hipótese legal, ou ainda em caso de o infrator perder ou não atender às condições técnicas e operacionais para manter o adequado tratamento de dados pessoais.

Como é definido o valor base da multa simples

Para definição do valor da multa simples será utilizada a metodologia do Apêndice I da Resolução CD/ANPD Nº 4 e será considerada a classificação da infração, conjuntamente com o faturamento do infrator e o grau do dano do incidente.

Quando passa a valer o regulamento da dosimetria e aplicação das sanções?

O Regulamento da dosimetria passa a valer a partir do dia 27/02/2023, dia de sua publicação. Sendo assim, a ANPD já pode aplicar as sanções impostas pela LGPD.