Em 27 de fevereiro, a Autoridade Nacional de Proteção de Dados (ANPAD) publicou o Regulamento De Dosimetria e Aplicação de Sanções Administrativas. A norma era o que faltava para que o órgão começasse a multar descumprimentos referentes à Lei Geral de Proteção de Dados (LGPD) .
A regulamentação conta com critérios importantes para definição do valor e para medir os danos causados pelos agentes. Lembrando que a dosimetria é um cálculo que auxilia na escolha da sanção mais apropriada para os casos de descumprimentos da LGPD. Em outras palavras, é uma metodologia que orienta o cálculo do valor-base das sanções de multa para infratores.
Com o regulamento, foram selecionadas condições importantes para que a dosimetria seja a mais proporcional possível e que vá de acordo com a gravidade do ocorrido.
Sendo assim, com a publicação, foram regulamentados os artigos 52 e 53 da LGPD e definido os critérios da Dosimetria. A elaboração do regulamento de dosimetria já estava prevista pelo Art.53 como um requisito para que a aplicação de multas fosse possível pela Autoridade.
Critérios para a dosimetria
Em seu Art.7, é definido alguns parâmetros e critérios para a dosimetria.
São eles:
I - a gravidade e a natureza das infrações e dos direitos pessoais afetados;
II - a boa-fé do infrator;
III - a vantagem auferida ou pretendida pelo infrator;
IV - a condição econômica do infrator;
V - a reincidência específica;
VI - a reincidência genérica;
VII - o grau do dano, nos termos do Apêndice I deste Regulamento;
VIII - a cooperação do infrator;
IX - a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados, em consonância com a LGPD;
X - a adoção de política de boas práticas e governança;
XI - a pronta adoção de medidas corretivas; e
XII - a proporcionalidade entre a gravidade da falta e a intensidade da sanção.
Classificação das infrações
Infrações são classificadas de acordo com a gravidade, natureza das infrações e dos direitos pessoais dos afetados. Foi separado em três grupos: leve; média; ou grave.
A infração será considerada leve quando não for verificada nenhuma das hipóteses relacionadas no segundo ou no terceiro parágrafo do Art.8.
No segundo parágrafo consta que para a multa ser considerada média, ela precisa afetar interesses e direitos fundamentais dos titulares de dados pessoais, caracterizada nas situações em que a atividade de tratamento destes dados puder impedir ou limitar o exercício de direitos ou a utilização de serviços.
No terceiro parágrafo, por sua vez, para que uma infração seja considerada como grave, deve ser verificada a hipótese estabelecida no segundo parágrafo e, de uma forma cumulativa, conte pelo menos uma das seguintes características transgressoras:
- a) envolver tratamento de dados pessoais em larga escala, caracterizado quando abranger número significativo de titulares, considerando-se, ainda, o volume de dados envolvidos, bem como a duração, a frequência e a extensão geográfica do tratamento realizado;
- b) o infrator auferir ou pretender auferir vantagem econômica em decorrência da infração cometida;
- c) a infração implicar risco à vida dos titulares;
- d) a infração envolver tratamento de dados sensíveis ou de dados pessoais de crianças, de adolescentes ou de idosos;
- e) o infrator realizar tratamento de dados pessoais sem amparo em uma das hipóteses legais previstas na LGPD;
- f) o infrator realizar tratamento com efeitos discriminatórios ilícitos ou abusivos; ou
- g) verificada a adoção sistemática de práticas irregulares pelo infrator;
II - constituir obstrução à atividade de fiscalização.
Sanções aplicáveis ao descumprimento
A multa deverá ser paga no prazo de até 20 (vinte) dias úteis, contados depois do conhecimento da notificação. Todas as sanções já estão previstas na LGPD, são elas:
- Advertência;
- Multa simples, de até 2% (dois por cento) do faturamento da empresa, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais), por infração;
- Multa diária, com limite total de R$ 50.000.000,00 (cinquenta milhões de reais);
- Publicização da infração;
- Bloqueio dos dados pessoais;
- Eliminação dos dados pessoais;
- Suspensão parcial do funcionamento do banco de dados por no máximo de 6 (seis) meses, prorrogável por igual período, até que se regularize a situação;
- Suspensão do exercício da atividade de tratamento dos dados pessoais por no máximo de 6 (seis) meses, prorrogável por igual período;
- Proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
O Poder Público não pode ser multado. No entanto, outras sensações previstas acima podem ser aplicadas. Todo o dinheiro arrecadado em decorrência das multas será destinado ao Fundo de Defesa de Direitos Difusos.