LGPD – LEI Nº 13.709 DE 14 DE AGOSTO DE 2018, VALIDADE DE SUAS SANÇÕES E RETROATIVIDADE

Por Andressa Karolyne dos Santos

No dia 27/02/2023, foi publicado pela ANPD (Autoridade Nacional de Proteção de Dados), o tão esperado regulamento de aplicação de sanções e dosimetria, estabelecendo assim critérios para a aplicação de penalidade para aqueles que descumprirem a LGPD – Lei geral de Proteção de Dados.

Após um longo processo o regulamento entra em vigor imediato, na data de sua publicação, agora a ANPD permite que as multas e sanções possam ser aplicadas para aqueles que descumprirem a lei, trazendo assim além de impactos negativos na imagem e reputação das empresas, punições financeiras e um efeito educativo no mercado, já que as punições aplicadas devem ser tornadas públicas.

As infrações foram classificadas em três níveis, sendo grave quando o infrator auferir ou pretender auferir vantagem econômica em decorrência do ato cometido, quando realizar o tratamento de dados pessoais sem amparo em uma das bases legais previstas na LGPD e quando prevalecer da fraqueza ou ignorância do titular, tendo em vista a sua idade, saúde ou condição social. Ainda será considerada grave a infração pelo tratamento de dados pessoais com efeito discriminatório, ilícito ou abusivo, quando verificada a má-fé ou a adoção de práticas irregulares, além da obstrução à atividade de fiscalização

O Regulamento de Dosimetria e Aplicação de Sanções Administrativas é a norma que vai estabelecer as circunstâncias, as condições e os métodos de aplicação das sanções, considerando, dentre outros aspectos, o dano ou o prejuízo causado aos titulares de dados pelo descumprimento à Lei Geral de Proteção de Dados Pessoais

O estabelecimento de uma dosimetria tem como objetivo apontar critérios de proporcionalidade entre a infração e a medida adotada pelo órgão regulador, que incluem níveis de gravidade da infração (leve, média ou grave), definição de circunstâncias atenuantes e agravantes, isto é, situações que possam reduzir ou aumentar o grau punitivo da medida imposta ao infrator, além de fórmula matemática para aferição do valor de multas aplicadas.

Punições previstas na LGPD:

· Advertência;

· Multa simples, de até 2% do faturamento da empresa, limitada, no total, a R$ 50 milhões, por infração;

· Multa diária, com limite total de R$ 50 milhões;

· Publicização da infração;

· Bloqueio dos dados pessoais;

· Eliminação dos dados pessoais;

· Suspensão parcial do funcionamento do banco de dados por no máximo de seis meses, prorrogável por igual período, até que se regularize a situação;

· Suspensão do exercício da atividade de tratamento dos dados pessoais por no máximo de seis meses, prorrogável por igual período;

· Proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.

Todas as sanções, exceto as multas poderão ser aplicadas ao poder público, e terão efeito retroativo, podendo ser penalizados por situações que ocorreram desde 01/08/21, quando a LGPD e suas sanções entraram em vigor.

A partir de agora a ANPD poderá aplicar as sanções administrativas com base em requisitos estabelecidos de forma clara, promovendo segurança jurídica aos processos fiscalizatórios e garantindo então o devido processo legal e ao contraditório.

Segundo o conselho diretor da ANPD, a Autoridade já recebeu mais de 6 mil denúncias de titulares de dados desde novembro de 2020 e já instaurou mais de 1 mil processos fiscalizatórios. A maioria das denúncias ocorreram em razão de pedidos excessivos de dados dos clientes por parte dos e-commerces, como, por exemplo, se a pessoa é casada ou solteira, para efetuar uma compra. Já a outra parte das denúncias tem como objeto o vazamento de dados pessoais.

A norma de Dosimetria tem como objetivos:

a) Regulamentar os artigos 52 e 53 da LGPD e definir os critérios e parâmetros para as sanções pecuniárias e não pecuniárias pela ANPD, bem como as formas e dosimetrias para o cálculo do valor-base das multas;

b) Alterar os artigos 32, 55 e 62 da Resolução nº 1º CD/ANPD, com vistas a aprimorar o processo administrativo sancionador e de fiscalização, permitindo-se que a ANPD evolua na atividade repressiva, respeitados o devido processo legal e o contraditório, de modo a proporcionar segurança jurídica e transparência para todos os envolvidos.

A elaboração do regulamento é um requisito, orientado pelo art.53 da LGPD, para a aplicação de multas pela Autoridade Nacional de Proteção de Dados.

Contudo as sanções poderão ser aplicadas somente depois de uma análise feita em um processo administrativo, levando esse processo a oportunidade de ampla defesa e analisando de acordo com as condições de cada caso, e seguindo os seguintes critérios:

· Gravidade e natureza das infrações e dos direitos pessoais afetados;

· Boa-fé do infrator;

· Vantagem auferida ou pretendida pelo infrator;

· Condição econômica do infrator;

· Reincidência;

· Grau do dano;

· Cooperação do infrator;

· Adoção de mecanismos e procedimentos internos capazes de minimizar o dano;

· Adoção de política de boas práticas e governança;

· Pronta adoção de medidas corretivas; e

· Proporcionalidade entre a gravidade da falta e a intensidade da sanção.

·

Isso se faz devido a garantia de buscar a proporcionalidade entre a sanção a ser aplicada e a gravidade da conduta da empresa, promovendo assim segurança jurídica aos processos.

Já são atualmente aproximadamente cerca 600 decisões envolvendo a LGPD, divulgou o jornal Folha de São Paulo, os casos concretos apontam desde decisões com exposição de informações pessoais até questões trabalhistas, a matéria do Jornal Folha indicou que cerca de 74% das sentenças são de primeiro grau.

O Caso noticiado publicamente pela aplicação de altas multas do banco Cetelem SA, é um grande exemplo, em que a Secretaria Nacional do Consumidor (SENACOM) e o Ministério da Justiça, impôs o valor da multa em 4 milhões pela fraude financeira praticadas por seus correspondentes bancários, que estavam utilizando dados pessoais de seus clientes idosos, sem o consentimento dos titulares, na oferta abusiva de empréstimos consignados.

O caso do Grupo Raia Drogasil também ganhou manchetes e foram multados no valor de R$572.680,71 pelo Procon de Mato Grosso, por estarem obtendo de forma totalmente irregular a autorização de sus clientes para o tratamento e então uso de seus dados

O mais recomendado para o cenário atual é que as empresas que ainda não se adequaram, busquem o quanto antes a adaptação aos critérios da LGPD., buscando assim uma equipe com profissionais especializados para não sofrerem com o infortúnio de uma futura - e pesada - multa administrativa.