Nesta segunda-feira, 27, o Conselho Diretor da ANPD publicou resolução para regular o procedimento de dosimetria das sanções administrativas, ou seja, norma norteadora para aplicação de medidas corretivas aos agentes de tratamento que estejam em contrariedade com a LGPD – Lei Geral de Proteção de Dados Pessoais. A resolução entra em vigor imediato, na data de sua publicação, o que permite que sejam aplicadas as multas pela Autoridade.
Clique aqui para ler a íntegra da resolução.
O regulamento traz conceitos, como o de grupo econômico, que permite que a ANPD possa aplicar multas sobre faturamento total de conglomerados, assim como o da reincidência, que passa a ter dois modelos, o da específica quando o mesmo infrator comete o mesmo tipo de violação no prazo de cinco anos (desde a vigência), e a genérica, quando o infrator comete qualquer tipo de violação dentro do prazo de cinco anos (desde a vigência).
O estabelecimento de uma dosimetria tem como objetivo apontar critérios de proporcionalidade entre a infração e a medida adotada pelo órgão regulador, que incluem níveis de gravidade da infração (leve, média ou grave), definição de circunstâncias atenuantes e agravantes, isto é, situações que possam reduzir ou aumentar o grau punitivo da medida imposta ao infrator, além de fórmula matemática para aferição do valor de multas aplicadas.
Quanto a dosimetria, dentro os critérios para aplicação da penalidade grave, havia uma expectativa de maior objetividade, mas a ANPD acabou não trazendo uma definição mais detalhada do que será considerado tratamento de larga escala, deixando uma definição subjetiva, como número significativo de usuários e volume de dados envolvido, sem parâmetros mais assertivos.
Os indicadores para gravidade alta envolvem:
• Tipo do dado (sensível, criança ou adolescente ou idoso);
• Volumetria: larga escala (pode ser número significativo de titulares, volume de dados, frequência, duração, alcance geográfico);
• Vantagem econômica;
• Risco à vida do titular;
• Efeitos discriminatórios ilícitos ou abusivos;
• Não ter base legal para tratar;
• Adoção sistemática de práticas irregulares (aqui não se usou o termo reincidência, pois não precisa ser a mesma irregularidade, pode ser distinta).
“Um ponto positivo foi a previsão da oitiva de demais autoridades reguladoras setoriais no momento de instrução, o que diminuiu o risco de entendimentos divergentes e aumenta o alinhamento entre Autoridades”, comenta Patricia Peck, CEO e sócia-fundadora do Peck Advogados, conselheira titular do CNPD – Conselho Nacional de Proteção de Dados e professora da ESPM.
Poderão ser aplicadas todas as sanções já previstas na LGPD, que são:
• Advertência;
• Multa simples, de até 2% do faturamento da empresa, limitada, no total, a R$ 50 milhões, por infração;
• Multa diária, com limite total de R$ 50 milhões;
• Publicização da infração;
• Bloqueio dos dados pessoais;
• Eliminação dos dados pessoais;
• Suspensão parcial do funcionamento do banco de dados por no máximo de seis meses, prorrogável por igual período, até que se regularize a situação;
• Suspensão do exercício da atividade de tratamento dos dados pessoais por no máximo de seis meses, prorrogável por igual período;
• Proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
A resolução é aplicável tanto para infrações antes de sua data de publicação, quanto para infrações futuras, o que significa que processos administrativos já em curso perante à ANPD terão como base as regras publicadas hoje. “Os próximos passos são: devem ser publicados os primeiros resultados de sanção e espera-se que a ANPD dê publicização das infrações, conforme previsto também no art. 52”, ressalta da advogada.
A arrecadação das multas aplicadas pela ANPD será destinada ao Fundo de Defesa de Direitos Difusos, que tem por finalidade a reparação dos danos causados ao meio ambiente, ao consumidor, a bens e direitos de valor artístico, estético, histórico, turístico, paisagístico, por infração à ordem econômica e a outros interesses difusos e coletivos.
Fonte: Migalhas