Publicada resolução que define regras para aplicação de sanções da LGPD
A Autoridade Nacional de Proteção de Dados (ANPD) publicou no último dia 24/02 a norma que regulamenta a aplicação de sanções administrativas da Lei Geral de Proteção de Dados Pessoais (LGPD). A Resolução CD/ANPD n. 04/2023 traz a definição de infração leve, média e grave e mostra como calcular a multa por violação à legislação — que pode chegar a R$ 50 milhões. A possibilidade de aplicação das penalidades estava em vigor desde 31 de agosto de 2021, mas dependia de regulamentação do cálculo da dosimetria para ser efetivada.
Com a publicação da norma, todo e qualquer descumprimento da LGPD passa a estar sujeito as penalidades administrativas estabelecidas. Por isso, é importante conhecer quais sanções podem ser aplicadas:
- Advertência, com indicação de prazo para adoção de medidas corretivas;
- Multa simples, de até 2% do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil, no seu último exercício, excluídos os tributos e limitada, no total, a R$ 50.000.000,00, por infração;
- Multa diária, observado o limite total anterior;
- Publicização da infração, após devidamente apurada e confirmada a sua ocorrência;
- Bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
- Eliminação dos dados pessoais a que se refere a infração;
- Suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;
- Suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 meses, prorrogável por igual período;
- Proibição parcial ou total do exercício de atividades relacionadas ao tratamento de dados.
As penalidades são aplicadas aos agentes de tratamento de dados pessoais que desrespeitarem as disposições da LGPD, por meio do Processo Administrativo Sancionador, que tem como objetivo interromper situações de dano ou risco aos titulares de dados pessoais com aplicação de sanções previstas na legislação. O processo pode ser instaurado de ofício pela autoridade ou mediante requerimento e observará as seguintes fases:
Uma vez confirmada a existência da irregularidade, a ANPD avaliará as circunstâncias da infração para definir as penalidades a serem aplicadas. Para isso, a autoridade inicialmente classificará a infração em leve, média ou grave, conforme detalhes abaixo:
Nas infrações apuradas pela ANPD que resultem na aplicação de multa simples, o valor será definido de acordo com as regras estabelecidas no Apêndice I do regulamento aprovado, o qual estabeleceu algumas etapas para a definição do valor da multa:
Durante as etapas indicadas acima, a ANPD avaliará os seguintes aspectos:
- A classificação da infração;
- O grau do dano;
- O faturamento do infrator ou valores absolutos definidos no regulamento para agentes pessoas físicas ou pessoas jurídicas sem faturamento;
- As circunstâncias agravantes;
- As circunstâncias atenuantes;
- Os limites mínimos e máximos de multas.
Além de dispor as fórmulas de cálculo da multa, a ANPD também estabeleceu os valores mínimos para os agentes de tratamento que descumprirem disposições da LGPD, independentemente da existência de faturamento:
Com o fim do processo regulatório, recomenda-se às cooperativas que tratem as ações de adequação à LGPD como prioridade, executando planos de ações para estruturação da governança e conformidade, mas também para correção das lacunas nos processos que envolvem o tratamento de dados pessoais.
Gostou do tema? Nos acompanhe, em breve publicaremos conteúdo abordando as etapas do processo de fiscalização conduzidas pela ANPD.