Por Tatiana Coelho, Consultora em Proteção de Dados.

Muito embora a Autoridade Nacional de Proteção de Dados (“ANPD”) esteja realizando ações de fiscalização desde o final de 2021, foi no dia 27 de fevereiro, último, que foi realizada a aprovação final do Regulamento de Dosimetria e Aplicação de Sanções Administrativas sobre o Tratamento Inadequado de Dados Pessoais.

Até agora, a orientação da ANPD era pela substituição das ações de sanção por advertência ou orientação sobre a necessidade de tratamento adequado de dados pessoais, revelando, portanto, que o órgão estava atuando de forma preventiva, orientativa e educativa, ante a inexistência de base suficiente para a eleição da sanção apropriada para os casos concretos.

Faltava a garantia da proporcionalidade (entre a gravidade da conduta e a sanção a ser aplicada) e a segurança jurídica necessária para o processo fiscalizatório, em atenção a princípios básicos do direito, como o do devido processo legal e do direito ao contraditório. Agora, porém, a ANPD pode operar com plena legitimidade jurídica e regulatória, seja nos atos de fiscalização, seja no processo sancionador, quando constatar o descumprimento da Lei Geral de Proteção de Dados (“LGPD”).

O início da vigência do Regulamento de Dosimetria estava previsto na Agenda Regulatória para os primeiros meses deste ano, sendo forçoso concluir (1) que a ANPD está em dia com as suas ações e, no mais, (2) que essa dita pontualidade serve de alerta. A Agenda Regulatória é o instrumento de planejamento e que estipula as ações prioritárias da ANPD e que, por sua vez, ressoam como sendo o ecossistema de privacidade e proteção de dados que devem ser melhor abordados e regulamentados. E eu cito como exemplos (a) o prazo e a forma de encaminhamento de comunicação de incidente de segurança, (b) a transferência internacional de dados pessoais e (c) a definição de tratamento de alto risco e larga escala.

Mas, em linhas gerais, o que muda a partir de agora? Tudo! Em suma, agora nós temos requisitos claros e bem estabelecidos para a aplicação de sanções pela ANPD contra as organizações que não estão adequadas às disposições da Lei, garantindo a segurança e os direitos dos titulares dos dados. Temos definido (de forma efetiva) o que caracteriza uma infração leve, média ou grave, bem como o que pode ser considerado atenuante ou agravante no processo.

É importante saber também que as sanções serão aplicadas em decorrência da tramitação de processo administrativo sancionador pontual e específico (i. é., relacionado a cada caso de violação das regras previstas na LGPD), considerando sempre os seguintes critérios: (a) gravidade e natureza das infrações e dos direitos pessoais afetados; (b) boa-fé do infrator; (c) reincidência; (d) cooperação do infrator; (e) adoção de políticas de boas práticas e governança; dentre outros.

Quais as sanções que poderão ser aplicadas? Em linhas gerais, as sanções aplicáveis pela ANPD poderão ser de (a) advertência; (b) multa simples de até 2% do faturamento da empresa e limitada, no total, a R$ 50 milhões por infração; (c) eliminação dos dados pessoais; (d) suspensão do uso.

Em resumo, é importante saber que as ações de fiscalização já estão em andamento e podem ser materializadas através de atos de ofício ou em decorrência de denúncia apresentada por qualquer pessoa diretamente no site da ANPD, onde já foram registradas mais de 06 (seis) mil denúncias.

Se antes a orientação era pela antecipação das ações de conformidade, agora, mais do que nunca, a medida é premente. O Brasil passa a estar muito mais alinhado às melhores práticas para melhoria de seu ambiente de negócios.

Estejamos [todos] atentos!