Cybersecurity e Boas Práticas

Multas por infrações à LGPD: como serão as penalidades

Publicada recentemente a Resolução nº 4 daANPD, que estabelece as regras para a aplicação de multas e sanções em casos de infração à Lei Geral de Proteção de Dados Pessoais (LGPD). O regulamento define também os parâmetros e critérios da dosimetria para aplicação das sanções e medidas a serem adotadas em cada caso.


REGULAMENTO DE DOSIMETRIA E APLICAÇÃO DE SANÇÕES ADMINISTRATIVAS
Art. 1º Este Regulamento tem por objetivo estabelecer parâmetros e critérios para aplicação de sanções administrativas pela Autoridade Nacional de Proteção de Dados (ANPD), bem como as formas e dosimetrias para o cálculo do valor-base das sanções de multa.


...


Logo de início, o documento define uma série de termos importantes, tais como a definição de grupo ou conglomerado de empresas, infração, infrator, medidas corretivas, política de boas práticas e de governança, reincidência específica e genérica, bem como o conceito de trânsito em julgado.


Em seguida, descreve as diferentes sanções administrativas que podem ser aplicadas:




Estas sanções serão aplicadas após procedimento administrativo da ANPD, considerando vários parâmetros e critérios, como a gravidade e natureza das infrações, a boa-fé, a vantagem auferida pelo infrator, a reincidência e a proporcionalidade entre a gravidade da falta e a intensidade da sanção.


As infrações são classificadas como leve, média ou grave, de acordo com a sua gravidade, natureza e dos direitos pessoais afetados.


Infrações médias são as que podem afetar significativamente os interesses e direitos fundamentais dos titulares, como situações que impeçam ou limitem, de maneira significativa, o exercício de direitos ou a utilização de um serviço, ou que ocasionem danos materiais ou morais aos titulares, tais como discriminação, violação à integridade física, ao direito à imagem e à reputação, fraudes financeiras ou uso indevido de identidade.


Infrações gravessão as que, além de cumprir estes requisitos das infrações médias, também envolvem uma ou mais das seguintes circunstâncias:


  • tratamento de dados pessoais em larga escala, abrangendo número significativo de titulares, bem como volume de dados, duração, frequência e extensão geográfica do tratamento realizado;
  • tentativa ou obtenção de vantagem econômica em decorrência da infração;
  • risco à vida dos titulares;
  • tratamento de dados sensíveis ou de crianças, adolescentes ou de idosos;
  • tratamento de dados pessoais sem amparo em uma das hipóteses legais previstas na LGPD;
  • tratamento com efeitos discriminatórios ilícitos ou abusivos; ou
  • adoção sistemática de práticas irregulares pelo infrator.


Também é consideradainfração graveaquela que constituir obstrução à atividade de fiscalização.


Em casos de infração leves ou médias, que não caracterizem reincidência específica, a ANPD prevê a possibilidade de aplicação de advertência ou de multa simples, dependendo das circunstâncias, como o não atendimento às medidas preventivas ou corretivas impostas.


Para calcular o valor das multas em caso de infração à LGPD, a Resolução apresenta uma metodologia detalhada em um apêndice. O cálculo começa com a definição do valor base, que leva em conta a classificação da infração, o faturamento da empresa infratora e o grau do dano causado.


Esse valor base pode ser aumentado em casos de circunstâncias agravantes, como reincidência específica ou genérica, descumprimento de medidas preventivas ou corretivas, entre outras. Já em situações atenuantes, o valor base pode ser reduzido.


Algumas das circunstâncias atenuantes incluem a redução progressiva do valor da multa conforme o tempo decorrido, a adoção de políticas de boas práticas e governança, a implementação de mecanismos internos de tratamento seguro e adequado de dados, a comprovação de medidas efetivas para reverter ou mitigar os efeitos da infração sobre os titulares de dados afetados, e a cooperação ou boa-fé por parte do infrator. É importante entender essas regras para estar em conformidade com a LGPD e evitar multas desnecessárias.


A metodologia prevê ainda um valor mínimo para as multas:



Além das sanções e multas, a resolução prevê outras medidas a serem aplicadas em caso de infração àLGPD. Uma destas medidas é a publicização, que consiste na divulgação do ocorrido pelo próprio infrator, com a indicação do teor, meio, duração e prazo para cumprimento.


AANPD pode impor também a suspensão temporária do tratamento de dados pessoais, a eliminação de dados armazenados em banco de dados e até mesmo a suspensão parcial ou total do funcionamento da empresa infratora. Em casos de reincidência, tratamento ilícito de dados ou perda de condições técnicas e operacionais, a ANPD pode ainda proibir parcial ou totalmente o exercício de atividades relacionadas ao tratamento de dados pessoais.


O infrator deve comprovar a regularização de sua conduta para reestabelecer o tratamento de dados pessoais.


Para evitar essas sanções, as organizações devem adotar políticas e práticas de proteção de dados, incluindo medidas preventivas, corretivas e de governança. Além disto, é fundamental estar atualizado em relação à LGPD e seus regulamentos, para que possam se adequar rapidamente à novas exigências e evitar sanções.Investir em segurança e privacidade dos dados é um caminho seguro para evitar prejuízos financeiros e de reputação, bem como para garantir a confiança dos clientes e usuários.


Para encerrar, um pequeno resumo da Resolução, obtido do novo Bing, com Inteligência Artificial:




Abraços e até a próxima,


Alberto Bastos

(Art 42 .. 44, 52 .. 54) Responsabilidade e Sanções Privacidade
Comentários
Cybersecurity e Boas PráticasLGPD e Publicações da ANPDContato