ANPD

ANPD

Outras Tags

  • teclado digital azul

    ANPD passará a aplicar sanções e exercer seu papel coercitivo

    Depois de passar por extensa consulta pública, a Autoridade Nacional de Proteção de Dados (ANPD) publicou em 27 de fevereiro de 2023 a Resolução que aprova o Regulamento de Dosimetria e Aplicação de Sanções Administrativas. A medida era aguardada por muitos, já que a dosimetria é o método que orienta a escolha da sanção mais apropriada para o caso concreto e, apesar das sanções estarem previstas na Lei Geral de Proteção de Dados Pessoais (LGPD – Lei n. 13.709/2018), não eram aplicadas pela ANPD por uma pendência de regulamentação. Assim, com a nova resolução a ANPD poderá cumprir plenamente sua função sancionadora.

     

    O Regulamento estabelece as circunstâncias, as condições e os métodos de aplicação das sanções, que levarão em conta o caso concreto, a realidade dos agentes envolvidos e os cuidados que foram tomados nos tratamentos de dados, para definir a sanção mais adequada, garantindo a proporcionalidade entre a sanção aplicada e a gravidade da conduta. Ainda, somente haverá a aplicação da sanção por decisão fundamentada, após o processo administrativo, com garantia à ampla defesa, ao contraditório e ao devido processo legal.

     

    Para aplicação das penas serão levadas em consideração as atitudes do infrator, eventual vantagem por ele auferida com a situação, a condição econômica dos agentes envolvidos, a existência de reincidência, o grau do dano causado, quais os mecanismos adotados para minimizar os danos, se houve a adoção de políticas de governança em proteção de dados, entre outras circunstâncias da situação fática.

     

    As sanções são as mesmas previstas na LGPD:

    • advertências;
    • multas;
    • publicização da infração;
    • bloqueio e eliminação dos dados a que se refere a infração;
    • suspensão parcial do funcionamento do banco de dados a que se refere a infração;
    • suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a Infração; e
    • proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.

    Ainda, o Regulamento estabeleceu uma classificação para as infrações, segundo sua gravidade, natureza e direitos pessoais afetados:

     

    • Leve: quando não verificada nenhuma das hipóteses relacionadas abaixo;

     

    • Média: quando puder afetar significativamente interesses e direitos fundamentais dos titulares de dados pessoais, caracterizada nas situações em que a atividade de tratamento puder impedir ou limitar, de maneira significativa, o exercício de direitos ou a utilização de um serviço, assim como ocasionar danos materiais ou morais aos titulares, tais como discriminação, violação à integridade física, ao direito à imagem e à reputação, fraudes financeiras ou uso indevido de identidade, desde que não seja classificada como grave.

     

    • Grave: quando for verificada a hipótese estabelecida acima e, cumulativamente, pelo menos uma das hipóteses abaixo:
    1. Envolver tratamento de dados pessoais em larga escala;
    2. O infrator auferir ou pretender auferir vantagem econômica;
    3. Implicar risco à vida dos titulares;
    4. Envolver tratamento de dados pessoais sensíveis ou de crianças, adolescentes ou idosos;
    5. Tratamento realizado sem amparo em uma base legal;
    6. Tratamento com efeitos discriminatórios ilícitos ou abusivos; ou
    7. Adoção sistemática de práticas irregulares.

     

    Destaca-se que a ANPD poderá aplicar as sanções administrativas para casos ocorridos desde 1º de agosto de 2021, quando os artigos que versam sobre o tema, previstos na LGPD, entraram em vigor.

     

    Assim, as empresas devem estar atentas ao adequado tratamento de dados pessoais, para evitar a aplicação das sanções, sendo que algumas delas tem o potencial de gerar mais impactos que o valor de uma multa, como, por exemplo, a publicização da infração, sanção esta que pode abalar a confiança conquistada perante os consumidores, ou mesmo a proibição total do exercício de atividades relacionadas ao tratamento de dados, que pode inviabilizar toda a operação da empresa a depender de sua atividade precípua.

     

    Com o Regulamento, a ANPD está devidamente aparelhada para exercer sua função coercitiva, podendo as organizações que ainda não se adequaram à LGPD ou que violem seus dispositivos responder pela sua conduta em processo administrativo.