Em 2018, foi publicada a Lei nº 13.709/18, Lei Geral de Proteção de Dados Pessoais (LGPD), que regulamenta a proteção de dados pessoais no Brasil, seguindo uma tendência internacional e inspirada na General Data Protection Regulation (GDPR), norma que regula a proteção de dados na União Europeia (EU). Com a sanção da LGPD, tomamos um importante passo para resguardar um bem precioso da sociedade, seus dados pessoais.
Desde setembro de 2020, após a vacância legal, período de adaptação para empresas, a norma passou a ser aplicável para pessoas jurídicas de direito público e privado, sendo protegidos os dados considerados de caráter pessoal dispostos em meio físico ou digital.
A plena aplicação da lei, contudo, dependia da regulamentação que definiria a dosimetria das aplicações das sanções estabelecidas na LGPD. Sem a aplicação das penalidades, a norma legal se torna letra morta.
Em 27 de fevereiro de 2023, com vistas a garantir a aplicação da lei e resguardar o direito à proteção dos dados pessoais, a Autoridade Nacional de Proteção de Dados (ANDP), autoridade nacional responsável pela fiscalização e aplicação das penalidades ligadas ao descumprimento da lei, publicou o Regulamento de Dosimetria e Aplicação das Sanções Administrativas (Resolução CD/ANPD nº 4, de 24 de fevereiro de 2023), tornando conhecidos os critérios e parâmetros para aplicação das sanções administrativas às quais as empresas estão sujeitas caso descumpram a lei, além de trazer formas e dosimetrias para o cálculo do valor-base das multas, cumprindo a determinação do artigo 53 da LGPD.
A publicação do regulamento é, sem dúvida, um dos marcos mais importantes desde a publicação da LGPD, pois somente agora estão claros os parâmetros utilizados para a imposição de sanções pela autoridade nacional.
Um dos aspectos analisados para aplicação da penalidade em caso de descumprimento da LGPD é o dano ou prejuízo que a empresa tenha causado aos titulares dos dados. O regulamento tem como objetivo garantir o equilíbrio entre a gravidade da conduta do agente e a sanção aplicada.
A LGPD dispõe que as empresas estão sujeitas a algumas sanções para além da aplicação de multa, sendo aplicadas de forma coercitiva as penalidades abaixo:
- Advertência;
- Multa simples, de até 2% (dois por cento) do faturamento da empresa, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
- Multa diária, com limite total de R$ 50.000.000,00 (cinquenta milhões de reais);
- Publicização da infração;
- Bloqueio dos dados pessoais a que se refere a infração;
- Eliminação dos dados pessoais a que se refere a infração;
- Suspensão parcial do funcionamento do banco de dados a que se refere a infração por no máximo 6 (seis) meses, prorrogável por igual período, até que se regularize a situação;
- Suspensão do exercício da atividade de tratamento dos dados pessoais por no máximo 6 (seis) meses, prorrogável por igual período;
- Proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
A Resolução CD/ANPD nº 4/2023 visa estabelecer principalmente o método de aplicação para a penalidade de multa simples e/ ou multa diária, estabelecidas nos artigos 11 e 16.
Além de punições, como a multa, a autoridade nacional pode exigir a adoção de medidas corretivas para evitar novas infrações à LGPD.
Foram estabelecidos os valores mínimos de multa simples a serem aplicados nos casos de pessoa física e pessoa jurídica sem faturamento, conforme abaixo:
Além da regulamentação da dosimetria para aplicação das penalidades, que garante ao processo fiscalizatório a segurança jurídica do devido processo legal e contraditório, também foram iniciados os primeiros julgamentos pela ANPD. Inicialmente, será julgado o primeiro lote, com 8 processos, a maioria envolvendo órgãos do setor público federal e vazamento de dados pessoais.
Em entrevista ao jornal Valor Econômico, a Diretora da ANPD, Nairane Leitão, informou que a ANPD já possui um segundo lote de processos, que serão melhor avaliados, envolvendo empresas privadas e casos de incidentes de segurança e venda e compartilhamento de dados, entre outros.
Após os julgamentos na primeira instância pelo órgão regulamentador, caberá ainda recurso ao conselho diretor da ANPD e, finda a instância administrativa, os agentes poderão recorrer ao judiciário para tentar rever ou até mesmo anular as penalidades aplicadas.
De acordo com o órgão regulador, já foram instaurados 40 processos fiscalizatórios sobre possíveis descumprimentos da legislação, e a ANPD já recebeu 1.110 denúncias, além de 703 petições de titulares de dados solicitando instauração de procedimentos e adoção de medidas pelo descumprimento da lei.
As empresas precisam estar atentas e se adequarem às determinações legais, que vão desde o mapeamento de dados pessoais coletados, processados e armazenados para identificação da finalidade e a base legal para o tratamento, criação de políticas e procedimentos internos, realização de treinamento e conscientização dos funcionários em relação à proteção de dados pessoais, até a indicação do Encarregado de Dados Pessoais (DPO, na sigla em inglês, “Data Protection Officer”), responsável por garantir a conformidade da empresa com a LGPD e pela comunicação com a ANPD.
Caso ainda não tenha nomeado ou não possua o DPO, a Pryor Global pode te ajudar. Oferecemos o serviço de DPO de forma autônoma e independente, cumprindo todos os requisitos da lei.
Conte com os nossos serviços! Temos um time expert em LGPD e proteção de dados pessoais.
Para saber mais sobre nossos serviços entre em contato pelo site: https://www.pryorglobal.com/contato/
A Pryor Global se preocupa com o uso de seus dados pessoais. Solicitamos apenas os dados necessários para podermos retornar seu contato. Estes dados serão devidamente protegidos. Para mais informações, consulte nossa Política de Privacidade".