A dosimetria das sanções da ANPD

Por dentro da Resolução nº 04/2023

Por mais bem preparada que esteja, qualquer organização está sujeita a denúncias e incidentes relacionados aos dados pessoais. A adoção de Políticas e Regras de Boas Práticas e de Governança, bem a estruturação de Programa de Governança em Privacidade – previstos na LGPD – são essenciais para atenuar os riscos e, consequentemente, os efeitos de uma ação fiscalizatória.

Como se depreende da LGPD, desde sua a publicação, as sanções administrativas compreendem: advertências, multas, publicização da infração, bloqueio ou eliminação dos dados pessoais, suspensão do funcionamento do banco de dados e até do exercício da atividade relacionada ao tratamento dos dados pessoais, dentre outros.

A aplicação de tais penalidades está relacionada à adoção de políticas de boas práticas e governança, mencionadas acima, e elementos como cooperação, reincidência, pronta adoção de medidas corretivas etc. Quanto às infrações, são classificadas: leve, média ou grave.

Das infrações leves às graves

Segundo a ANPD, por meio da Resolução nº 4, de 24 de fevereiro de 2023, a infração será considerada leve por exclusão, ou seja, quando não verificada nenhuma das infrações médias ou graves.

A infração média ocorre quando puder afetar direitos fundamentais dos Titulares de dados pessoais, como a utilização de um serviço ocasionando danos materiais ou morais aos titulares, inclusive quando envolver violação ao direito de imagem, reputação, fraudes financeiras e uso indevido de identidade.

Já a infração grave se aplica quando cumular uma infração média e, pelo menos uma das seguintes hipóteses constantes no art. 8º, § 3º, do Anexo à Resolução CD/ANPD nº 4/2023:

a) tratamento de dados pessoais em larga escala;
b) o infrator auferir ou pretender auferir vantagem econômica em decorrência da infração;
c) implicar risco à vida dos titulares;
d) a infração envolver dados sensíveis ou de dados pessoais de crianças, adolescentes ou idosos;
e) tratamento de dados pessoais sem amparo em uma das hipóteses legais previstas na LGPD;
f) tratamento com efeitos discriminatórios ilícitos ou abusivos; ou
g) a adoção sistemática de práticas irregulares pelo infrator.

Também será considerada grave a obstrução da atividade de fiscalização, entendidas como ato ou omissão que impeça, dificulte ou embarace o procedimento. Entende-se por obstrução à atividade de fiscalização o ato, comissivo ou omissivo que impeça, dificulte ou embarace a atividade de fiscalização. Ou seja, o mero não envio de quaisquer dados e informações solicitados podem caracterizar a obstrução. Daí a importância de gestores e empresas estarem conscientes de princípios básicos da LGPD, como a ‘responsabilização e prestação de contas’, ‘prevenção’, ‘segurança’, ‘qualidade dos dados’ etc.

Além dessas classificações, existem circunstâncias agravantes e atenuantes que podem elevar ou reduzir o valor das multas pecuniárias.

Como se vê, o caminho da prevenção é sempre melhor, e permite o dimensionamento dos riscos e medidas de mitigação dos danos. As grandes empresas já fizeram seu “dever de casa”, mas ainda se vê muitas pequenas e médias empresas em compasso de espera. Talvez uma espera que pode custar demais.

André Peixoto

Advogado e Consultor especializado em Privacidade, Proteção de Dados e Segurança da Informação. ‘Certified Data Protection Officer’ (CDPO/CIPM/LGPD) pela International Association of Privacy Professionals (IAPP) e certificado em ‘Privacy and Data Protection’ pela EXIN Foundation. Mestre em Direito Constitucional com ênfase em privacidade na internet.