Depois de passar por extensa consulta pública, a Autoridade Nacional de Proteção de Dados (ANPD) publicou em 27 de fevereiro de 2023 a Resolução que aprova o Regulamento de Dosimetria e Aplicação de Sanções Administrativas. A medida era aguardada por muitos, já que a dosimetria é o método que orienta a escolha da sanção mais apropriada para o caso concreto e, apesar das sanções estarem previstas na Lei Geral de Proteção de Dados Pessoais (LGPD – Lei n. 13.709/2018), não eram aplicadas pela ANPD por uma pendência de regulamentação. Assim, com a nova resolução a ANPD poderá cumprir plenamente sua função sancionadora.
O Regulamento estabelece as circunstâncias, as condições e os métodos de aplicação das sanções, que levarão em conta o caso concreto, a realidade dos agentes envolvidos e os cuidados que foram tomados nos tratamentos de dados, para definir a sanção mais adequada, garantindo a proporcionalidade entre a sanção aplicada e a gravidade da conduta. Ainda, somente haverá a aplicação da sanção por decisão fundamentada, após o processo administrativo, com garantia à ampla defesa, ao contraditório e ao devido processo legal.
Para aplicação das penas serão levadas em consideração as atitudes do infrator, eventual vantagem por ele auferida com a situação, a condição econômica dos agentes envolvidos, a existência de reincidência, o grau do dano causado, quais os mecanismos adotados para minimizar os danos, se houve a adoção de políticas de governança em proteção de dados, entre outras circunstâncias da situação fática.
As sanções são as mesmas previstas na LGPD:
- advertências;
- multas;
- publicização da infração;
- bloqueio e eliminação dos dados a que se refere a infração;
- suspensão parcial do funcionamento do banco de dados a que se refere a infração;
- suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a Infração; e
- proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
Ainda, o Regulamento estabeleceu uma classificação para as infrações, segundo sua gravidade, natureza e direitos pessoais afetados:
- Leve: quando não verificada nenhuma das hipóteses relacionadas abaixo;
- Média: quando puder afetar significativamente interesses e direitos fundamentais dos titulares de dados pessoais, caracterizada nas situações em que a atividade de tratamento puder impedir ou limitar, de maneira significativa, o exercício de direitos ou a utilização de um serviço, assim como ocasionar danos materiais ou morais aos titulares, tais como discriminação, violação à integridade física, ao direito à imagem e à reputação, fraudes financeiras ou uso indevido de identidade, desde que não seja classificada como grave.
- Grave: quando for verificada a hipótese estabelecida acima e, cumulativamente, pelo menos uma das hipóteses abaixo:
- Envolver tratamento de dados pessoais em larga escala;
- O infrator auferir ou pretender auferir vantagem econômica;
- Implicar risco à vida dos titulares;
- Envolver tratamento de dados pessoais sensíveis ou de crianças, adolescentes ou idosos;
- Tratamento realizado sem amparo em uma base legal;
- Tratamento com efeitos discriminatórios ilícitos ou abusivos; ou
- Adoção sistemática de práticas irregulares.
Destaca-se que a ANPD poderá aplicar as sanções administrativas para casos ocorridos desde 1º de agosto de 2021, quando os artigos que versam sobre o tema, previstos na LGPD, entraram em vigor.
Assim, as empresas devem estar atentas ao adequado tratamento de dados pessoais, para evitar a aplicação das sanções, sendo que algumas delas tem o potencial de gerar mais impactos que o valor de uma multa, como, por exemplo, a publicização da infração, sanção esta que pode abalar a confiança conquistada perante os consumidores, ou mesmo a proibição total do exercício de atividades relacionadas ao tratamento de dados, que pode inviabilizar toda a operação da empresa a depender de sua atividade precípua.
Com o Regulamento, a ANPD está devidamente aparelhada para exercer sua função coercitiva, podendo as organizações que ainda não se adequaram à LGPD ou que violem seus dispositivos responder pela sua conduta em processo administrativo.