Publicado o Regulamento de Dosimetria e Aplicação das Sanções Administrativas da LGPD
A Agência Nacional de Proteção de Dados (ANPD) publicou, na última segunda-feira (27/2), a Resolução CD/ANPD Nº 4, que em seu anexo trouxe o Regulamento de Dosimetria e Aplicação de Sanções Administrativas, norma que visa estabelecer parâmetros e critérios para aplicação de penalidades por descumprimento à Lei Geral de Proteção de Dados (LGPD).
Trata-se da norma que estabelece as circunstâncias, as condições e os métodos de aplicação das sanções, considerando, dentre outros aspectos, o dano ou o prejuízo causado aos titulares de dados pelo descumprimento à LGPD.
A Resolução foi elaborada após um longo processo que incluiu audiências públicas e a apreciação de sugestões de diversos setores empresariais e da sociedade civil.
As infrações estão ordenadas conforme gravidade, natureza e direitos pessoais afetados, e são classificadas como leves, médias ou como graves, ressalta-se, ainda, que a reincidência aumentará a punição.
O Regulamento trouxe os valores e dosimetrias das penalidades, e os percentuais mínimos e máximos do valor base, incidentes sobre o faturamento do infrator no último exercício disponível anterior à aplicação da sanção variam de 0,08% a 1,5%, conforme a gravidade da infração. O valor pode, ainda, ser majorado por circunstâncias agravantes, mas limitado a 2% do faturamento da pessoa jurídica no seu último exercício, excluídos os tributos, ou ao valor total de R$50.000.000,00 (cinquenta milhões de reais), o que for menor.
Recentemente, a ANPD já havia orientado sobre as Comunicações de Incidentes de Segurança (CIS), destacando para a necessidade de os contratos entre controladores e operadores diretamente disporem sobre obrigações e responsabilidade. A publicação da Resolução sobre a dosimetria acentua essa necessidade e ressalta a importância da adequação das empresas à legislação vigente.
A partir da publicação da Resolução, que incide inclusive sobre processos sancionatórios já em curso, passa a existir a possibilidade de a Agência Nacional de Proteção de Dados efetivamente aplicar penalidades.
Este é um marco importante para a proteção de dados no Brasil, trazendo para a realidade a obrigação dos controladores de avaliar as potenciais consequências e probabilidades de dano aos titulares dos dados, aspectos que deverão ser considerados na avaliação de risco. A ANPD, no âmbito de sua atuação, requisita documentos, por exemplo, de nomeação de encarregado e a indicação do número de titulares cujos dados são tratados pelo controlador. Nesse cenário de sujeição a penalidades, a apresentação desses documentos exigirá acompanhamento técnico.
Vale lembrar que a LGPD traz a obrigatoriedade da adequação para todas as empresas que em suas atividades realizem operações com dados pessoais. Assim, mesmo que a empresa não tenha site, e-commerce ou qualquer canal digital, e que trate dados apenas em ambiente físico, precisará estar adequada às disposições da Lei, pois as penalidades estão valendo.
Se você se interessou pelo assunto e quer saber mais informações, o Porto Lauand está à disposição para lhe auxiliar.