A Autoridade Nacional de Proteção de Dados – ANPD publicou, em fevereiro de 2023, o Regulamento de Dosimetria e Aplicação de Sanções Administrativas, também chamado Dosimetria de Multas, que dispõe sobre a aplicação de punições por descumprimento à Lei Geral de Proteção de Dados (LGPD) no Brasil. A aprovação foi bastante esperada pela comunidade jurídica uma vez que reforça a ação fiscalizatória da ANPD com parâmetros bem estabelecidos das sanções que podem chegar a até 50 milhões de reais.
Como já é de conhecimento público, a LGPD tem como objetivo proteger a privacidade e os dados pessoais de todos os cidadãos brasileiros. Porém, infelizmente, estes dados acabam sendo acessados por terceiros, que os utilizam de maneira incorreta, demonstrando, portanto, a vulnerabilidade virtual das empresas que não conseguem garantir esta proteção.
Com a Resolução, a ANPD passará a exercer ativamente o seu poder de fiscalização para punir infrações à LGPD que, até então, estava sendo feita por órgãos de defesa do consumidor, incentivando as instituições a investirem em projetos de adequação que estabeleçam e implementem medidas de Segurança da Informação e privacidade de dados pessoais efetivas.
Mas, então, o que esperar das multas e sanções? Dosimetria é o método que orienta a escolha da sanção mais adequada para cada caso concreto em que houver violação à LGPD, permitindo, desta forma, calcular o valor da multa aplicável ao infrator. Há vários fatores de avaliação, incluindo a gravidade e a natureza da infração, além do porte econômico do infrator. Nesta conjuntura, o regulamento busca garantir a proporcionalidade, reafirmando a segurança jurídica aos processos fiscalizatórios e buscando aplicar sanções não apenas punitivas, mas orientativas.
Dentre as sanções previstas na Lei Geral de Proteção de Dados Pessoais - LGPD, estão a advertência; multa simples de até 2% do faturamento da empresa, limitada, no total, a 50 milhões de reais por infração; assim como a multa diária, com limite de 50 milhões de reais. Também poderá haver publicização da infração; bloqueio dos dados pessoais; eliminação dos dados pessoais; suspensão parcial do funcionamento do banco de dados; e suspensão do exercício da atividade de tratamento dos dados pessoais. Por fim, a proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
O tipo de sanção aplicada levará em consideração, dentre outras questões, a boa-fé do infrator, sua condição econômica e adoção de política de boas práticas e governança. Além das multas mencionadas, a ANPD poderá aplicar punições mais severas aos infratores reincidentes que não se adequarem às disposições da Lei Geral de Proteção de Dados Pessoais, como o bloqueio ou a eliminação definitiva dos dados pessoais irregularmente tratados.
É de suma importância que as empresas tenham consciência da gravidade do não cumprimento da Lei Geral da Proteção de Dados. E, independente das sanções aplicadas, que busquem diariamente, investir em atualizações, programas de proteção, armazenamento e controle de dados, que visem evitar prejuízos futuros, tanto para a própria instituição quanto para seus clientes, prestadores de serviços, parceiros e a sociedade como um todo.