Ontem, 27 de fevereiro de 2023, foi publicado pela Autoridade Nacional de Proteção de Dados (ANPD) o Regulamento de Dosimetria e Aplicação de Sanções Administrativas. O que isso significa? Que a partir de agora existe um método que orienta a aplicação da sanção mais apropriada para cada caso de descumprimento da Lei Geral de Proteção de Dados, e que permite calcular o valor da multa aplicável ao infrator.

É um marco na história da proteção de dados no Brasil e que fará toda a diferença na efetividade da LGPD. Inclusive, já foi declarado pelo diretor-presidente da ANPD, Waldemar Gonçalves Ortunho Júnior, que o órgão terá uma atitude mais proativa e as empresas começarão a ser punidas pelas suas infrações.

As sanções vão desde multas até a proibição total do exercício de atividades relacionadas a tratamento de dados, o que inviabilizaria totalmente a operação de muitas empresas. Assim, espera-se que seja dada mais importância ao tema pelo setor público e privado, e a privacidade seja mais valorizada no país.

De acordo com a Resolução 04/2023, as violações serão classificadas em leve, média ou grave, de acordo com a gravidade e natureza das infrações e dos direitos pessoais afetados. Essa rotulação será importante para definição do tipo de sanção e valor pecuniário das multas, que levam em consideração um percentual do faturamento do negócio. 

Por exemplo, para uma infração considerada grau “leve”, poderá ser aplicada uma multa de 0,08% a 0,15% do faturamento da empresa; para uma infração “média” de 0,13% a 0,50%; e para o nível “grave” de 0,45 a 1,50%.

O dano ou o prejuízo causado aos titulares de dados sempre será relevante para aplicação da penalidade. Contudo, no artigo 7º do Anexo da referida Resolução, são listadas diversas situações que serão consideradas para agravar ou atenuar as sanções aplicadas. 

São hipóteses que poderão agravar as sanções aplicadas: (i) a vantagem auferida ou pretendida pelo infrator; (ii) reincidência específica; e (iii) reincidência genérica. Ou seja, a empresa que continuar a descumprir a LGPD reiteradamente porque terá ganho financeiro e sabe disso, terá sanções mais pesadas. O objetivo é acabar com a cultura de que “infringir a lei compensa”.

O mesmo artigo também traz os casos que podem ajudar a atenuar a pena. São eles: (i) boa-fé do infrator; (ii) a cooperação do infrator; (iii) a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados, em consonância com a LGPD; (iv) a adoção de política de boas práticas e governança; e (v) a pronta adoção de medidas corretivas.

Além das hipóteses acima refletirem que a prevenção, o cuidado contínuo e a transparência são incentivados e serão valorizados pela ANPD, o artigo 32 da LGPD foi alterado para constar que “o não atendimento de medida preventiva será considerado circunstância agravante em caso de instauração de processo administrativo sancionador”.

Em outras palavras, apesar da LGPD estar em vigor desde setembro de 2020, e já existirem condenações no âmbito judicial, muitas empresas ainda não se adequaram à lei. E, a partir de agora, a possibilidade de sofrer uma sanção aumentou consideravelmente, sendo recomendado que quem ainda não se adequou o faça o quanto antes, seja para evitar uma punição, seja para minimizar eventual sanção aplicada. É muito mais barato e vantajoso ao negócio se adequar antes do que sofrer penalidades depois.

Quem estava aguardando para ver se a lei seria objeto de fiscalização, agora precisa correr contra o tempo para evitar prejuízos relacionados ao tratamento de dados.