Por dentro da Resolução nº 04/2023.
Por mais bem preparada que esteja, qualquer organização está sujeita a denúncias e incidentes relacionados aos dados pessoais. A adoção de Políticas e Regras de Boas Práticas e de Governança, bem a estruturação de Programa de Governança em Privacidade – previstos na LGPD – são essenciais para atenuar os riscos e, consequentemente, os efeitos de uma ação fiscalizatória.
Como se depreende da LGPD, desde sua a publicação, as sanções administrativas compreendem: advertências, multas, publicização da infração, bloqueio ou eliminação dos dados pessoais, suspensão do funcionamento do banco de dados e até do exercício da atividade relacionada ao tratamento dos dados pessoais, dentre outros.
A aplicação de tais penalidades está relacionada à adoção de políticas de boas práticas e governança, mencionadas acima, e elementos como cooperação, reincidência, pronta adoção de medidas corretivas etc. Quanto às infrações, são classificadas: leve, média ou grave.
Das infrações leves às graves.
Segundo a ANPD, por meio da Resolução nº 4, de 24 de fevereiro de 2023, a infração será considerada leve por exclusão, ou seja, quando não verificada nenhuma das infrações médias ou graves.
A infração média ocorre quando puder afetar direitos fundamentais dos Titulares de dados pessoais, como a utilização de um serviço ocasionando danos materiais ou morais aos titulares, inclusive quando envolver violação ao direito de imagem, reputação, fraudes financeiras e uso indevido de identidade.
Já a infração grave se aplica quando cumular uma infração média e, pelo menos uma das seguintes hipóteses constantes no art. 8º, § 3º, do Anexo à Resolução CD/ANPD nº 4/2023:
- Tratamento de dados pessoais em larga escala;
- O infrator auferir ou pretender auferir vantagem econômica em decorrência da infração;
- Implicar risco à vida dos titulares;
- A infração envolver dados sensíveis ou de dados pessoais de crianças, adolescentes ou idosos;
- Tratamento de dados pessoais sem amparo em uma das hipóteses legais previstas na LGPD;
- Tratamento com efeitos discriminatórios, ilícitos ou abusivos; ou
- A adoção sistemática de práticas irregulares pelo infrator.
Também será considerada grave a obstrução da atividade de fiscalização, entendidas como ato ou omissão que impeça, dificulte ou embarace o procedimento. Entende-se por obstrução à atividade de fiscalização o ato, comissivo ou omissivo que impeça, dificulte ou embarace a atividade de fiscalização. Ou seja, o mero não envio de quaisquer dados e informações solicitados podem caracterizar a obstrução. Daí a importância de gestores e empresas estarem conscientes de princípios básicos da LGPD, como a ‘responsabilização e prestação de contas’, ‘prevenção’, ‘segurança’, ‘qualidade dos dados’ etc.
Além dessas classificações, existem circunstâncias agravantes e atenuantes que podem elevar ou reduzir o valor das multas pecuniárias. Como se vê, o caminho da prevenção é sempre melhor, e permite o dimensionamento dos riscos e medidas de mitigação dos danos. As grandes empresas já fizeram seu “dever de casa”, mas ainda se vê muitas pequenas e médias empresas em compasso de espera. Talvez uma espera que pode custar demais.