O recém-publicado Regulamento de Dosimetria das sanções da LGPD fortalece atuação da ANPD
Desde a entrada em vigor da Lei Geral de Proteção de Dados Pessoais (LGPD), ao se falar nela e na necessidade de adequação das empresas, um dos pontos mais levantados sempre foi o das sanções, especialmente o das multas. Muitos questionavam: “e se eu não cumprir a lei? Nenhuma empresa foi multada por isso”, e por vezes até escantearam e de certa forma diminuíram a importância e imprescindibilidade de conformidade com a lei diante da ausência de divulgação de multas.
Contudo, esse cenário teve uma mudança significativa. Recentemente, a Autoridade Nacional de Proteção de Dados (ANPD) publicou o Regulamento de Dosimetria e Aplicação das Sanções Administrativas. A publicação do documento viabiliza a aplicação das sanções ao estabelecer parâmetros para aplicá-las, de maneira que é esperado que em breve as multas sejam exigidas.
Com relação aos parâmetros estabelecidos, é importante pontuar que os critérios para definição das sanções encontram-se no art. 7º do referido Regulamento e englobam os seguintes pontos: (i) a gravidade e a natureza das infrações e dos direitos pessoais afetados; (ii) a boa-fé do infrator; (iii) a vantagem auferida ou pretendida pelo infrator; (iv) a condição econômica do infrator; (v) a reincidência específica; (vi) a reincidência genérica; (vii) o grau do dano; a cooperação do infrator; (viii) a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados, em consonância com a LGPD; (ix) a adoção de política de boas práticas e governança; a pronta adoção de medidas corretivas; e (x) a proporcionalidade entre a gravidade da falta e a intensidade da sanção.
No que diz respeito a sanção da multa simples, ela poderá ser aplicada em três cenários: (i) quando o infrator não tenha atendido as medidas preventivas ou corretivas a ele impostas; (ii) a infração for considerada como grave; ou (iii) pela natureza da infração, da atividade de tratamento ou dos dados pessoais, e pelas circunstâncias do caso concreto não for adequado aplicar outra sanção, conforme disposto no art. 10º do Regulamento.
Além disso, o Regulamento também traz informações essenciais e muito aguardadas sobre a definição do valor-base da multa simples, que deverá considerar os seguintes elementos: (i) a classificação da infração; (ii) o faturamento do infrator no último exercício disponível anterior à aplicação da sanção; e (iii) o grau do dano, de acordo com os incisos do art. 11º do Regulamento. Com relação aos valores da multa simples, podem atingir até 2% do faturamento da empresa, limitada, no total, a R$50.000.000,00 (cinquenta milhões de reais), por infração.
A título de curiosidade, ressalte-se que o destino do valor arrecadado com as multas é o Fundo de Defesa de Direitos Difusos, que tem como propósito reparar os “danos causados ao meio ambiente, ao consumidor, a bens e direitos de valor artístico, estético, histórico, turístico, paisagístico, por infração à ordem econômica e a outros interesses difusos e coletivos”.
Agora que ficou evidente que as multas já são uma realidade muito próxima, espera-se que mais empresas busquem cumprir o disposto na LGPD e fortaleçam as medidas preventivas para evitar prejuízos com eventuais sanções. Por outro lado, enxerga-se a ANPD ainda mais firme no papel de fiscalizar e de combater ao descumprimento a LGPD, não só pela publicação do Regulamento, mas também pela recentíssima divulgação dos processos sancionatórios de empresas e órgãos públicos que aguardam conclusão.
Advogado. Pós-graduado em Direito Empresarial pela FGV São Paulo. Alumni do Data Privacy. Associado ao International Association of Privacy Professionals (IAPP). Membro da Comissão do Novo Advogado do Instituto dos Advogados de São Paulo (IASP).