Com a recente publicação do Regulamento de Dosimetria pela Autoridade Nacional de Proteção de Dados (ANPD), as sanções previstas na LGPD ganham mais uma ferramenta para a sua aplicação.
Esse novo marco regulatório traz mais clareza para as questões relacionadas à dosimetria das sanções e suas implicações na cibersegurança do país. Neste texto, vamos entender melhor como isso acontece e quais são as consequências para as empresas que atuam no Brasil.
ANPD publica Regulamento de Dosimetria
Em fevereiro de 2023, a norma de dosimetria foi aprovada pelo conselho diretor da ANPD. O documento reúne uma série de parâmetros e critérios para a aplicação de punições às instituições que descumprirem a Lei Geral de Proteção de Dados Pessoais (LGPD).
A aprovação representa um passo importante para o exercício da atividade regulatória e torna mais transparente as possíveis sanções praticadas pela ANPD.
O que é Dosimetria e para que serve?
A Dosimetria é o método utilizado para entender como as sanções ou multas podem ser aplicadas de forma apropriada para cada caso de desrespeito às leis. De forma mais direta, considerando aspectos como, o dano ou o prejuízo causado aos titulares de dados pelo descumprimento à LGPD.
De acordo com a publicação oficial, a norma de Dosimetria tem como objetivos:
a) Regulamentar os artigos 52 e 53 da LGPD e definir os critérios e parâmetros para as sanções pecuniárias e não pecuniárias pela ANPD, bem como as formas e dosimetrias para o cálculo do valor-base das multas;
b) Alterar os artigos 32, 55 e 62 da Resolução nº 1º CD/ANPD, com vistas a aprimorar o processo administrativo sancionador e de fiscalização, permitindo-se que a ANPD evolua na atividade repressiva, respeitados o devido processo legal e o contraditório, de modo a proporcionar segurança jurídica e transparência para todos os envolvidos.
Histórico da Lei Geral de Proteção de Dados Pessoais (LGPD)
Inspirada no Regulamento Geral de Proteção de Dados (GDPR) da União Europeia, que entrou em vigor em maio de 2018, a Lei Geral de Proteção de Dados Pessoais (LGPD) foi sancionada em 14 de agosto de 2018.
Ainda em dezembro de 2018, surge a Medida Provisória 869 que, mais tarde, em 2019 é sancionada como Lei 13.853, dispondo sobre a criação de órgãos regulatórios como a ANPD e o Conselho Nacional de Proteção de Dados Pessoais e da Privacidade (CNPD).
Também houve alterações nas regras para o compartilhamento de dados entre órgãos públicos e privados. Essa mudança impossibilitou a transação de informações sem o consentimento prévio dos titulares e instaurou a exigência de assinatura do termo de responsabilidade entre as partes envolvidas.
Em 2020, ocorreu o adiamento do início da aplicação das sanções previstas na LGPD, que passou de agosto de 2020 para agosto de 2021 diante de dificuldades encontradas durante a pandemia de coronavírus.
Em março de 2021, foi publicado o Regimento Interno da ANPD, que é o documento que estabelece a organização, as competências e o funcionamento da agência.
Em agosto de 2021, entrou em vigor a Lei 14.181/2021, que trouxe mais mudanças na LGPD. Destacando-se, a possibilidade de aplicação de multas por descumprimento da lei, que antes eram previstas apenas para casos de infrações graves.
O processo de fiscalização foi estruturado em outubro de 2021. Na ocasião, foram definidos os tipos de procedimentos que a ANPD adota em fiscalizações, como a requisição de informações, documentos e dados, a realização de inspeções e aplicação de sanções.
Já em dezembro de 2021, a ANPD divulgou a primeira lista de empresas autuadas por descumprimento da LGPD. O documento é atualizado constantemente a título de transparência e pode ser consultado por qualquer pessoa.
Quais são as sanções previstas na LGPD?
Como mencionado anteriormente, a publicação torna mais evidente as multas e punições por descumprimento de forma geral. Abaixo você confere a lista completa, publicada no site da ANPD:
- Advertência;
- Multa simples, de até 2% do faturamento da empresa, limitada, no total, a R$ 50 milhões por infração;
- Multa diária, com limite total de R$ 50 milhões;
- Publicização da infração;
- Bloqueio dos dados pessoais;
- Eliminação dos dados pessoais;
- Suspensão parcial do funcionamento do banco de dados por no máximo de seis meses, prorrogável por igual período, até que se regularize a situação;
- Suspensão do exercício da atividade de tratamento dos dados pessoais por no máximo de seis meses, prorrogável por igual período;
- Proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
Por mais que o Regulamento de Dosimetria e Aplicação de Sanções Administrativas tenha sido publicado em fevereiro de 2023, é bom lembrar que todas as punições são aplicadas de acordo com o marco de vigência, em agosto de 2021. Isso significa que a ANPD pode investigar e aplicar as punições de forma retroativa.
Espera-se que a publicação do documento traga mais luz ao nível de enquadramento de gravidade das infrações e atue como uma ferramenta sólida para o entendimento das mais de 6 mil denúncias que aguardam investigação junto à ANPD.
Além de especificações para as multas pecuniárias, o regulamento traz parâmetros mais claros para o cálculo de circunstâncias agravantes, que podem levar a acréscimos no valor base definido, tais como:
- Reincidência específica (art. 12, I): aumento de 10% até 40% para cada caso;
- Reincidência genérica (art. 12, II): aumento de 5% até 20% para cada caso;
- Descumprimento de medida de orientação ou preventiva (art. 12, III): aumento de 20% até 80% para cada medida;
- Descumprimento de medida corretiva (art. 12, IV): aumento de 30% até 90% para cada medida.
Impactos na cibersegurança a longo prazo
Como pudemos observar segundo o histórico levantado, a LGPD vem evoluindo nos seus quase cinco anos de existência. Os órgãos regulatórios também têm intensificado suas atividades e refinado suas ações para a proteção das informações pessoais dos brasileiros.
Com a crescente importância da proteção de dados sensíveis, é fundamental que empresas e organizações se adequem às normas da LGPD, investindo em medidas de segurança da informação e privacidade de dados.
A partir da publicação do Regulamento de Dosimetria, as atividades punitivas de sanções pecuniárias ganham um alicerce, protegendo cada vez mais os titulares dos dados. O objetivo não é assustar empresas com valores altos das punições, mas, sim, servir como instrumento reforçador para o cumprimento da LGPD.
O Brasil tem sido cada vez mais visado em ataques cibernéticos. Segundo relatório global de ameaças cibernéticas da SonicWall, nosso país ocupa o quarto lugar no ranking de mais visados por ataques do tipo ransomware, com mais de 21 milhões de ocorrências.
E ainda, de acordo com o mesmo estudo, o país ocupa o sexto lugar no ranking mundial de ataques de malwares diversos, representando 24,67% do volume total. Portanto, o cenário exige que as instituições estejam preparadas para lidar com ameaças de todo tipo.
Além do mais, espera-se que o regimento incentive instituições na adoção de boas práticas sobre o tratamento de dados pessoais. Mais do que evitar multas, as empresas precisam entender que a proteção de informações sensíveis traz benefícios, como confiança do público geral em seus serviços, assim como mais oportunidades para parcerias.
Nesse cenário, as sanções previstas na LGPD tomam uma dimensão importante na proteção dos dados pessoais e na garantia da segurança cibernética. Afinal, a falta de medidas de defesa adequadas pode levar a incidentes que expõem informações pessoais e sensíveis dos indivíduos, gerando danos irreparáveis.