Com a publicação da norma de dosimetria pela Autoridade Nacional de Proteção de Dados (ANPD) nesta segunda-feira, 27, as empresas que descumprirem a Lei Geral de Proteção de Dados (LGPD) podem, a partir de agora, ser alvo de multas e outras penalidades administrativas.
Essa regulamentação era o que faltava para o andamento dos processos que já estavam em curso - ainda não públicos - e os que virão. Isso porque, apesar de as infrações já terem sido estabelecidas pela lei, em vigor desde setembro de 2020, era necessária uma norma para dosar a aplicação das sanções. As multas podem chegar a 2% do faturamento das empresas, limitadas a R$ 50 milhões por infração.
Segundo a advogada Carolina Lagoa, cofundadora da Witec It Solutions, consultoria em TI especializada em Segurança da Informação, o regulamento busca garantir a proporcionalidade entre a sanção aplicada e a gravidade da conduta, o que proporciona "segurança jurídica aos processos fiscalizatórios".
Até então, não existiam sanções sendo aplicadas às empresas que infringiam a LGPD, e sim Termos de Ajustamento de Conduta (TAC) e similares. "A regulamentação da dosimetria é um marco essencial para a efetiva aplicação da LGPD. Era uma lacuna pendente desde a edição da lei, em 2018. Até agora, as empresas não possuíam um referencial objetivo da exposição à qual estavam submetidas quando descumpriam a norma", afirma o advogado Rodrigo Azevedo, sócio coordenador da área de Direito Digital de Silveiro Advogados.
A norma determina a aplicação de penalidades de forma gradativa, nos níveis leve, médio e grave. As multas de grau médio são as que podem "afetar significativamente interesses e direitos fundamentais dos titulares de dados pessoais" ou causar "danos materiais ou morais aos titulares, como discriminação; violação à integridade física; ao direito à imagem e à reputação; fraudes financeiras ou uso indevido de identidade".
Já as multas graves envolvem o "tratamento de dados pessoais em larga escala", bem como a duração, frequência e a extensão geográfica da exposição dos dados. A classificação leva em conta ainda os infratores que pretendem obter "vantagem econômica", que impliquem risco à vida dos titulares, principalmente se forem dados sensíveis ou de dados pessoais de crianças, adolescentes ou idosos.
As multas de grau leve não se enquadram em nenhuma das duas categorias, de acordo com a regulamentação. Elas começam em R$ 3 mil. As de grau médio em R$ 6 mil e as graves em R$ 12 mil. Esses valores aumentam de acordo com a gravidade das infrações, condição econômica do infrator, adoção de políticas de boas práticas e governança do infrator, adoção imediata de medidas corretivas, dentre outras.
Em caso de reincidência
Se houver reincidência da infração em até cinco anos desde o trânsito em julgado do processo administrativo, a multa será maior. O mesmo acontece se a regularização da conduta não for feita no prazo estipulado pela ANPD. Existem ainda descontos para aqueles que tenham comprovado adotar medidas capazes de mitigar ou reverter os efeitos da infração sobre os titulares dos dados.
Na visão da advogada Patrícia Peck, CEO e sócia-fundadora do Peck Advogados, a resolução atendeu às expectativas do mercado. "Era o último passo para que a ANPD pudesse começar a aplicação das sanções administrativas. A dosimetria permite tratar de forma detalhada como será a apuração da gravidade das violações e sua correspondência com a penalidade", afirma.
Alguns conceitos como reincidência e conglomerado de empresas ficaram mais claros. Outros, nem tanto, como os do artigo 8, que classifica o grau das infrações. "Dá um espaço muito grande de subjetividade, porque não diz o que seria a exposição de dados em larga escala, nem duração, nem frequência", avalia. Outra lacuna, segundo Peck, é a aplicação de penalidades ao serviço público. "A dosimetria focou nas entidades privadas e de economia mista", acrescenta.
Nova lei criou regras para uso e tratamento de dados pessoais
Aprovada em 2018 e em vigor desde 2020, a Lei Geral de Proteção de Dados Pessoais (LGPD) é considerada um marco, porque criou regras e princípios de transparência em relação ao uso e ao tratamento de dados nos setores público e privado. As empresas precisaram, entre outros pontos, desenvolver protocolos para evitar o vazamento de informações de clientes e profissionais, criar um departamento para cuidar exclusivamente do tema e nomear um encarregado de ser o responsável pelos dados da companhia, chamado de Data Protection Officer (DPO, ou chefe da proteção de dados).
Em fevereiro de 2022, o Congresso promulgou a Proposta de Emenda à Constituição (PEC) que incluiu a proteção de dados pessoais entre os direitos fundamentais do cidadão brasileiro. Assim, a proteção de dados pessoais se tornou cláusula pétrea da Constituição Federal. A alteração consolidou um pacote de mudanças, entre elas a LGPD e a criação da Autoridade Nacional de Proteção de Dados (ANPD). As informações são do jornal O Estado de S. Paulo.