Punições LGPD: Saiba quais são e como evitar este prejuízo à sua empresa!
A Lei Geral de Proteção de Dados foi promulgada em 14 de agosto de 2018, passou a vigorar em 2020, mas somente agora, em 2023, sabemos quais serão (e como serão aplicadas) as punições para quem não cumprir suas normas.
E já não era sem tempo! Em um mundo hiperconectado como o nosso, a aplicação regulamentada da LGPD garante que pessoas, empresas e instituições públicas tenham um cuidado e uma proteção mais criteriosos ao armazenar e utilizar informações pessoais, além de serem obrigadas a tornar mais transparente o objetivo da coleta, armazenamento e processamento desses dados.
Entretanto, alcançar isso, na prática só é possível através do conceito “vigiar e punir”, materializado agora com a elaboração do Regulamento de Dosimetria e Aplicação de Sanções Administrativas (também conhecido como Norma de Dosimetria), que foi divulgado no dia 27 de fevereiro, pela Agência Nacional de Proteção de Dados (ANPD).
O que é Dosimetria?
Dosimetria é o método que orienta a escolha da sanção mais apropriada para cada caso em que houver violação à Lei Geral de Proteção de Dados. Ela também ajuda a calcular, quando cabível, o valor da multa aplicável ao infrator.
O Regulamento de Dosimetria e Aplicação de Sanções Administrativas é a norma que vai estabelecer as circunstâncias, as condições e os métodos de aplicação das sanções, considerando, dentre outros aspectos, o dano ou o prejuízo causado aos titulares de dados pelo descumprimento à Lei Geral de Proteção de Dados Pessoais – LGPD.
A norma de dosimetria contou com ampla participação social. A minuta do regulamento recebeu 2.504 contribuições da sociedade em consulta pública realizada entre os dias 15 de agosto e 15 de setembro de 2022.
Além da consulta, foi realizada audiência pública, na qual foram recebidas 24 contribuições. A versão final da minuta de Resolução foi apresentada pela Coordenação-Geral de Normatização e distribuída entre os diretores, por sorteio, em 25 de janeiro de 2023, ficando a relatoria a cargo do Diretor Arthur Sabbat.
Por que ela é tão necessária?
O regulamento de dosimetria tem em vista garantir a proporcionalidade entre a sanção aplicada e a gravidade da conduta do infrator, além de proporcionar segurança jurídica aos processos fiscalizatórios e garantir o direito ao devido processo legal e ao contraditório.
Dessa forma, as sanções aplicadas estabelecerão uma melhor correspondência entre o fim a ser alcançado e o meio empregado, que seja o mais acertado e justo possível.
A elaboração do regulamento de dosimetria foi prevista pelo art. 53 da LGPD e é um requisito para a aplicação de multas pela Autoridade. Sua aprovação é importante para que os processos de fiscalização, que resultem em sanções administrativas, sejam mais efetivos.
Os dois principais objetivos da nova norma:
1. Regulamentar os artigos 52 e 53 da LGPD e definir os critérios e parâmetros para as sanções pecuniárias e não pecuniárias pela ANPD, bem como as formas e dosimetrias para o cálculo do valor-base das multas;
2. Alterar os artigos 32, 55 e 62 da Resolução nº 1º CD/ANPD, com vistas a aprimorar o processo administrativo sancionador e de fiscalização, permitindo-se que a ANPD evolua na atividade repressiva, respeitados o devido processo legal e o contraditório, de modo a proporcionar segurança jurídica e transparência para todos os envolvidos.
A elaboração do regulamento é um requisito, orientado pelo art.53 da LGPD, para a aplicação de multas pela Autoridade Nacional de Proteção de Dados.
O que muda a partir de agora?
A partir de agora a ANPD poderá aplicar as sanções administrativas com base em requisitos claros e estabelecidos, pois o regulamento entra em vigor imediatamente após a sua publicação.
Com isso, o cidadão passa a ter cada vez mais garantia da proteção de seu direito fundamental à proteção de dados pessoais, e o Brasil passa a estar muito mais alinhado às melhores práticas para melhoria de seu ambiente de negócios.
Quais são as punições (e as multas para elas)?
Poderão ser aplicadas todas as sanções já previstas na Lei Geral de Proteção de Dados Pessoais – LGPD, que são:
- Advertência;
- Multa simples, de até 2% (dois por cento) do faturamento da empresa, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais), por infração;
- Multa diária, com limite total de R$ 50.000.000,00 (cinquenta milhões de reais);
- Publicização da infração;
- Bloqueio dos dados pessoais;
- Eliminação dos dados pessoais;
- Suspensão parcial do funcionamento do banco de dados por no máximo de 6 (seis) meses, prorrogável por igual período, até que se regularize a situação;
- Suspensão do exercício da atividade de tratamento dos dados pessoais por no máximo de 6 (seis) meses, prorrogável por igual período;
- Proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
Com exceção das multas, as demais sanções poderão ser aplicadas ao Poder Público.
Além das multas, a Autoridade poderá aplicar também punições bastante severas aos infratores que não se adequarem às disposições da Lei Geral de Proteção de Dados Pessoais, como o bloqueio ou a eliminação definitiva dos dados pessoais irregularmente tratados.
E para onde vai esse dinheiro das multas?
A arrecadação das multas aplicadas pela ANPD será destinada ao Fundo de Defesa de Direitos Difusos, para a reparação dos danos causados ao meio ambiente, ao consumidor, a bens e direitos de valor artístico, estético, histórico, turístico, paisagístico, por infração à ordem econômica e a outros interesses difusos e coletivos.
Como as sanções serão aplicadas?
As sanções serão aplicadas depois de uma análise, que será realizada em processo administrativo, observando caso a caso. Esse processo deverá dar a oportunidade de ampla defesa, segundo as peculiaridades do caso e conforme os seguintes critérios:
- Gravidade e natureza das infrações e dos direitos pessoais afetados;
- Boa-fé do infrator;
- Vantagem auferida ou pretendida pelo infrator;
- Condição econômica do infrator;
- Reincidência;
- Grau do dano;
- Cooperação do infrator;
- Adoção de mecanismos e procedimentos internos capazes de minimizar o dano;
- Adoção de política de boas práticas e governança;
- Pronta adoção de medidas corretivas; e
- Proporcionalidade entre a gravidade da falta e a intensidade da sanção.
Como evitar que minha empresa seja multada pela LGPD?
Embora represente um desafio para a maioria das organizações, implementar rotinas de segurança é fundamental e o primeiro passo para adequar sua empresa a esta nova realidade é classificar as informações armazenadas sob sua responsabilidade.
A classificação das informações consiste na definição de níveis de proteção que cada dado deve receber. Por exemplo, os relatórios financeiros da empresa devem ter um nível de proteção maior do que a lista de números de telefone internos dos setores.
Ela serve para garantir que nenhum dado seja divulgado indevidamente e que apenas as pessoas que têm direito recebam acesso à informação. A classificação da informação faz parte das exigências da ISO 27001 e ISO 27002.
As normas são consideradas as principais diretrizes de segurança da informação e recomenda que as informações sejam classificadas de acordo com seu valor, requisitos legais, criticidade e sensibilidade.
Quer saber como implementar um passo a passo que deixará a sua empresa livre das punições da LGPD? Fale hoje mesmo com um dos nossos especialistas em Proteção de Dados.