A ANPD publicou o despacho em que submete à consulta pública a minuta da resolução que aprova o Regulamento de Dosimetria e Aplicação de Sanções Administrativas.
O prazo para participação se encerra no dia 15 de setembro e, após essa fase, a Autarquia terá uma norma basilar para iniciar a aplicação das sanções previstas pela LGPD.
Dentre várias disposições, a resolução dispõe sobre como as infrações poderão ser classificadas, segundo a sua gravidade, natureza e direitos pessoais afetados. Podendo ser:
- Grave:
I – quando verificada uma ou mais hipóteses da infração média e cumulativamente:
a) o infrator auferir ou pretender auferir vantagem econômica em decorrência da infração cometida;
b) a infração implicar risco à vida ou à integridade física dos titulares;
c) a infração envolver dados sensíveis ou de dados pessoais de crianças e adolescentes e de idosos;
d) o infrator realizar tratamento de dados pessoais sem amparo em uma das hipóteses legais previstas na LGPD;
e) o infrator prevalecer-se da fraqueza ou ignorância do titular, tendo em vista sua idade, saúde, conhecimento ou condição social;
f) o infrator realizar tratamento com efeitos discriminatórios ilícitos ou abusivos; ou
g) verificada a má-fé do infrator ou a adoção sistemática de práticas irregulares; II – constituir obstrução à atividade de fiscalização.
- Média:
Quando envolver tratamento de dados pessoais em larga escala ou afetar significativamente interesses e direitos fundamentais dos titulares, desde que não seja classificada como grave.
O tratamento de dados que possa afetar significativamente interesses e direitos fundamentais será caracterizado, dentre outras situações, quando a: a) atividade de tratamento puder impedir o exercício de direitos ou a utilização de um serviço, assim como b) ocasionar danos materiais ou morais aos titulares, tais como discriminação, violação à integridade física, ao direito à imagem e à reputação, fraudes financeiras ou roubo de identidade.
- Leve:
Quando não verificada nenhuma das hipóteses previstas como média ou grave.
Dessa forma, ANPD aplicará a sanção de multa simples quando: I – o infrator não atender as medidas de orientação, preventivas ou corretivas a ele impostas; II – a infração for classificada como grave; ou III – pela natureza da infração e as circunstâncias do caso concreto, da atividade de tratamento ou dos dados pessoais, não for possível ou adequado aplicar outra sanção.
E para definir um valor, levará em consideração a classificação da infração (Grave, Média ou Leve); o faturamento da pessoa jurídica referente ao último exercício anterior disponível ao da aplicação da sanção; e, o grau do dano.
O grau do dano é avaliado através de uma escalada de 0 a 3, sendo:
3: A infração ocasiona lesão ou ofensa a direitos ou interesses difusos, coletivos ou individuais, que, dadas as circunstâncias extraordinárias do caso, têm impacto irreversível ou de difícil reversão sobre os titulares afetados, de ordem material ou moral, ocasionando, entre outras situações, discriminação, violação à integridade física, ao direito à imagem e à reputação, fraudes financeiras ou roubo de identidade; ou
Danos decorrentes de litigância de má-fé, tais como, entre outras hipóteses previstas na legislação processual, alteração da verdade dos fatos, uso do processo para conseguir objetivo ilegal, resistência injustificada ao andamento do processo, atuação temerária em qualquer ato do processo ou impedimento da atuação da ANPD.
2: A infração ocasiona lesão ou ofensa a direitos ou interesses difusos, coletivos ou individuais, que, dadas as circunstâncias do caso, geram impactos aos titulares, de ordem material ou moral, que não se enquadram nos critérios indicados na descrição do grau de dano 0, 1 ou 3; ou
Dano decorrente do envio de informações intempestivas ou descumprimento intempestivo com prejuízo direto para o processo de fiscalização ou administrativo sancionador ou para terceiros e que não decorra de litigância de má-fé.
1: A infração ocasiona lesão ou ofensa a direitos ou interesses de um número reduzido de titulares, com impacto de ordem material ou moral limitado, que pode ser revertido ou compensado com relativa facilidade; ou
Envio ou disponibilização de informações ou descumprimento de determinação fora dos prazos ou condições estabelecidos pela ANPD, sem prejuízo direto para o processo de fiscalização ou administrativo sancionador ou para terceiros e que não decorra de litigância de má-fé.
0: A infração não ocasiona danos ou somente ocasiona danos com impactos insignificantes aos titulares, que decorrem de situações previsíveis ou corriqueiras e que não justificam a necessidade de compensação.
Importante mencionar que sobre o valor base da multa, antes de chegar no valor real da multa, serão considerados os agravantes e atenuantes.
Como agravantes, foi citado, por exemplo, a reincidência e descumprimento de medida corretiva ou preventiva.
Já como atenuante, algo que já vem sendo muito comentado, pode-se citar a implementação de política de boas práticas e de governança ou de adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar os danos aos titulares, voltados ao tratamento seguro e adequado de dados, até a prolação da decisão de primeira instância no âmbito do processo administrativo sancionador, ou seja, o famoso sistema de gestão de proteção de dados pessoais, através de um projeto de adequação.
Claro que a referida resolução traz outras definições e procedimentos também relevantes, e ela ainda pode ser alterada, em razão das contribuições dadas mediante consulta pública, mas sem dúvidas, já pode ser vislumbrado o caminho que a ANPD irá seguir e as ações que serão cobradas das empresas.
Por Marina de Andrade.
#lgpd #rgpd #dpo #encarregadodedados #senacon #dadospessoais #anpd #titulardedados #multas #sanções #infrações #compliance #compliancedigital #proteçãodedados #dataprivacy #fullserviceempresarial #loboevaz
