Com a publicação da norma de dosimetria pela Autoridade Nacional de Proteção de Dados (ANPD) nesta segunda-feira, 27, as empresas que descumprirem a Lei Geral de Proteção de Dados (LGPD) podem, a partir de agora, ser alvo de multas e outras penalidades administrativas.
Essa regulamentação era o que faltava para o andamento dos processos que já estavam em curso - ainda não públicos - e os que virão. Isso porque, apesar das infrações já terem sido estabelecidas pela lei, em vigor desde setembro de 2020, era necessária uma norma para dosar a aplicação das sanções. As multas podem chegar a 2% do faturamento das empresas, limitadas a R$ 50 milhões por infração.
Leia também
Segundo a advogada Carolina Lagoa, cofundadora da Witec It Solutions, consultoria em TI especializada em Segurança da Informação, o regulamento busca garantir a proporcionalidade entre a sanção aplicada e a gravidade da conduta. Para ela, isso proporciona “segurança jurídica aos processos fiscalizatórios”. “As sanções aplicadas estabelecerão uma melhor correspondência entre o fim a ser alcançado e o meio empregado, para que seja o mais justo possível”, diz.
Até então, não existiam sanções sendo aplicadas às empresas que infringiam a LGPD e sim Termos de Ajustamento de Conduta (TAC) e similares. “A regulamentação da dosimetria é um marco essencial para a efetiva aplicação da LGPD. Era uma lacuna pendente desde a edição da Lei, em 2018. Até agora, as empresas não possuíam um referencial objetivo da exposição à qual estavam submetidas quando descumpriam a norma”, afirma o advogado Rodrigo Azevedo, sócio coordenador da área de Direito Digital de Silveiro Advogados.
Multas médias e graves
A norma determina a aplicação de penalidades de forma gradativa, nos níveis leve, médio e grave. As multas de grau médio são aquelas que podem “afetar significativamente interesses e direitos fundamentais dos titulares de dados pessoais” ou causar “danos materiais ou morais aos titulares, como discriminação; violação à integridade física; ao direito à imagem e à reputação; fraudes financeiras ou uso indevido de identidade”.
Já as multas graves envolvem o “tratamento de dados pessoais em larga escala”, bem como a duração, frequência e a extensão geográfica da exposição dos dados. A classificação leva em conta ainda os infratores que pretendem obter “vantagem econômica”, que impliquem em risco à vida dos titulares, principalmente se forem dados sensíveis ou de dados pessoais de crianças, adolescentes ou idosos.
As multas de grau leve não se enquadram em nenhuma das duas categorias, de acordo com a regulamentação. Elas começam em R$ 3 mil. As de grau médio em R$ 6 mil e as graves em R$ 12 mil. Esses valores aumentam de acordo com a gravidade das infrações, condição econômica do infrator, adoção de políticas de boas práticas e governança do infrator, adoção imediata de medidas corretivas, dentre outras.
Reincidência
Se houver reincidência da infração em um período de até cinco anos desde o trânsito em julgado do processo administrativo, a multa será maior. O mesmo acontece se a regularização da conduta não for feita no prazo estipulado pela ANPD. Existem ainda descontos para aqueles que tenham comprovado adotar medidas capazes de mitigar ou reverter os efeitos da infração sobre os titulares dos dados.
Na visão da advogada Patrícia Peck, CEO e sócia-fundadora do Peck Advogados, a resolução atendeu às expectativas do mercado. “Era o último passo para que a ANPD pudesse começar a aplicação das sanções administrativas. A dosimetria permite tratar de forma detalhada como será a apuração da gravidade das violações e sua correspondência com a penalidade”, afirma.
Alguns conceitos como reincidência e conglomerado de empresas ficaram mais claros. Outros, nem tanto, como os do artigo 8, que classifica o grau das infrações. “Dá um espaço muito grande de subjetividade, porque não diz o que seria a exposição de dados em larga escala, nem duração, nem frequência”, avalia. Outra lacuna, segundo Peck, é a aplicação de penalidades ao serviço público. “A dosimetria focou nas entidades privadas e de economia mista”, acrescenta.
Outras autuações
Outros tipos de autuações também podem ser executadas, como o bloqueio dos dados pessoais a que se refere a infração, suspensão parcial do funcionamento do banco de dados, proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados. O processo também pode ser publicizado, o que pode prejudicar particularmente as empresas listadas em Bolsa.
Para a advogada Sandra Sales, especialista em privacidade e proteção de dados no Benício Advogados, a publicização também é prejudicial. “Pode trazer um prejuízo bem significativo à marca, gerando perda de valor de mercado”, afirma. Ela também diz que a resolução permitirá um fortalecimento do cumprimento da legislação pelas empresas.
O advogado Fabrício da Mota Alves, sócio do Serur Advogados, afirma que as sanções que suspendem ou proíbem as atividades que envolvam dados pessoais podem ser fatais. “Em alguns casos, isso pode paralisar setores inteiros de uma empresa, até mesmo o funcionamento geral da organização”, diz.
A ANPD é uma autarquia federal ligada ao Ministério da Justiça e Segurança Pública criada em 2018 para fiscalizar o cumprimento à LGPD. O Estadão/Broadcast procurou a ANPD no início da manhã, mas ela disse não ser possível entrevista.
