Instituído o Regulamento de Dosimetria e Aplicação de Sanções por descumprimentos à LGPD

Em 27/02/2023, foi publicado pela a ANPD, o Regulamento de Dosimetria e Aplicação de Sanções, por meio do qual foram estabelecidos os critérios objetivos de classificação e aplicação de penalidades às infrações cometidas no tratamento de dados pessoais.

As infrações serão classificadas de acordo com a natureza, gravidade e dados impactados, conforme requisitos:

(i) Média: Quando afetar significativamente interesses e direitos fundamentais dos titulares dos dados afetados, com a limitação do exercício do seu direito no tratamento de forma significativa e/ou danos materiais/morais.

(ii) Grave:  Incidente que envolva, além dos elementos acima, o tratamento de dados pessoais em larga escala, com o aferimento de vantagem econômica, tratamento de dados sensíveis, tratamento sem base legal ou consentimento, tratamento ilícito e obstrução à atividade de fiscalização.

(iii) Leve:  Evento que não contenha nenhum dos critérios previstos para a classificação de como de natureza média e grave.

Para definição da sanção a ser aplicada, serão observados:

  • a gravidade, a natureza das infrações e dos direitos afetados;
  • a boa-fé do infrator;
  • a vantagem auferida ou pretendida pelo infrator;
  • a condição econômica do infrator;
  • a reincidência específica;
  • a reincidência genérica;
  • o grau do dano, nos termos do Apêndice I do Regulamento;
  • a cooperação do infrator;
  • a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados, em consonância com a LGPD;
  • a adoção de políticas de boas práticas e governança;
  • a pronta adoção de medidas corretivas e
  • a proporcionalidade entre a gravidade da falta e a intensidade da sanção.

Também foram mantidas as limitações previstas na LGPD quanto ao percentual de 2% do faturamento, limitado a R$ 50 milhões. Caso a empresa infratora não apresente documentos que comprovem o faturamento, a ANPD poderá arbitrar a limitação da sanção a ser aplicada.

Além da aplicação de sanção pecuniária, há outras punições que podem ser aplicadas pela ANPD, tais como: publicização da infração, bloqueio dos dados pessoais, eliminação dos dados pessoais, suspensão parcial do funcionamento do banco de dados, suspensão do exercício da atividade de tratamento de dados pessoais e até mesmo a proibição parcial ou total do tratamento de dados pela empresa infratora.

Desse modo, como a dosimetria era o componente que faltava para a imposição de sanções pela ANPD, as empresas devem se adequar integralmente à LGPD, de modo a evitar a imposição de penalidades e vedações que afetem a sua atividade de tratamento de dados pessoais.

Nossa Equipe de Proteção de Dados está à disposição para esclarecimentos.