Em 27/02/2023, foi publicado pela a ANPD, o Regulamento de Dosimetria e Aplicação de Sanções, por meio do qual foram estabelecidos os critérios objetivos de classificação e aplicação de penalidades às infrações cometidas no tratamento de dados pessoais.
As infrações serão classificadas de acordo com a natureza, gravidade e dados impactados, conforme requisitos:
(i) Média: Quando afetar significativamente interesses e direitos fundamentais dos titulares dos dados afetados, com a limitação do exercício do seu direito no tratamento de forma significativa e/ou danos materiais/morais.
(ii) Grave: Incidente que envolva, além dos elementos acima, o tratamento de dados pessoais em larga escala, com o aferimento de vantagem econômica, tratamento de dados sensíveis, tratamento sem base legal ou consentimento, tratamento ilícito e obstrução à atividade de fiscalização.
(iii) Leve: Evento que não contenha nenhum dos critérios previstos para a classificação de como de natureza média e grave.
Para definição da sanção a ser aplicada, serão observados:
- a gravidade, a natureza das infrações e dos direitos afetados;
- a boa-fé do infrator;
- a vantagem auferida ou pretendida pelo infrator;
- a condição econômica do infrator;
- a reincidência específica;
- a reincidência genérica;
- o grau do dano, nos termos do Apêndice I do Regulamento;
- a cooperação do infrator;
- a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados, em consonância com a LGPD;
- a adoção de políticas de boas práticas e governança;
- a pronta adoção de medidas corretivas e
- a proporcionalidade entre a gravidade da falta e a intensidade da sanção.
Também foram mantidas as limitações previstas na LGPD quanto ao percentual de 2% do faturamento, limitado a R$ 50 milhões. Caso a empresa infratora não apresente documentos que comprovem o faturamento, a ANPD poderá arbitrar a limitação da sanção a ser aplicada.
Além da aplicação de sanção pecuniária, há outras punições que podem ser aplicadas pela ANPD, tais como: publicização da infração, bloqueio dos dados pessoais, eliminação dos dados pessoais, suspensão parcial do funcionamento do banco de dados, suspensão do exercício da atividade de tratamento de dados pessoais e até mesmo a proibição parcial ou total do tratamento de dados pela empresa infratora.
Desse modo, como a dosimetria era o componente que faltava para a imposição de sanções pela ANPD, as empresas devem se adequar integralmente à LGPD, de modo a evitar a imposição de penalidades e vedações que afetem a sua atividade de tratamento de dados pessoais.
Nossa Equipe de Proteção de Dados está à disposição para esclarecimentos.