A Lei Geral de Proteção de Dados Pessoais (LGPD) estabelece medidas a serem observadas por toda e qualquer empresa e organização que realize coleta, armazenamento, processamento ou compartilhamento de dados pessoais.
E no intuito de garantir a proteção desses dados, bem como para garantir que os direitos dos titulares dos dados sejam respeitados, a LGPD determina quais as medidas que devem ser observadas.
Além disso, a LGPD prevê a aplicação de sanções administrativas em caso de descumprimento das suas disposições.
As infrações sujeitarão o infrator às seguintes sanções administrativas:
advertência,
multa simples,
multa diária,
publicização da infração, após devidamente apurada e confirmada a sua ocorrência,
bloqueio dos dados pessoais a que se refere a infração, até a sua regularização
eliminação dos dados pessoais a que se refere a infração
suspensão parcial do funcionamento do banco de dados a que se refere a infração
suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração
proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
Contudo, a legislação não deixou claro quais os critérios para a aplicação das respectivas sanções. Por essa razão, gerou-se uma grande discussão sobre quais seriam os critérios a serem adotados pela Autoridade Fiscalizadora.
Foi justamente por essa razão que em 27 de fevereiro de 2023, a Autoridade Nacional de Proteção de Dados – ANPD publicou a Resolução nº4, na qual se apresentam as regras e procedimentos para a aplicação da dosimetria das sanções a serem aplicadas às empresas e organizações (agentes de tratamento) que não cumprirem com os termos da LGPD, bem como dos demais regulamentos que forem expedidos pela Autoridade Reguladora.
A Resolução estabelece, em síntese, os critérios para a aplicação de sanções administrativas previstas na LGPD, destacando-se:
a gravidade da infração cometida;
o tipo e a quantidade de dados pessoais afetados pela infração;
o impacto da infração sobre os titulares dos dados;
a reincidência do infrator;
A colaboração do infrator durante o processo de investigação;
a boa-fé do infrator;
a vantagem auferida ou pretendida pelo infrator;
a condição econômica do infrator;
o grau do dano;
a existência de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados, em consonância com a LGPD;
a adoção de política de boas práticas e governança;
a pronta adoção de medidas corretivas;
a proporcionalidade entre a gravidade da falta e a intensidade da sanção.
Tais critérios apresentados pela Resolução, de forma objetiva, são imprescindíveis para que a aplicação das penalidades ocorra, observando-se a proporcionalidade e razoabilidade de acordo com a avalição do caso concreto, mas principalmente para proporcionar segurança jurídica aos processos fiscalizatórios.
As infrações foram classificadas de acordo com sua natureza e serão classificadas segundos os critérios acima e enquadradas como uma infração grave, média ou leve.
É de extrema importância destacar que a Resolução já determina expressamente que será caracterizado como infração de natureza grave quando a infração impactar interesses e direitos fundamentais dos titulares, bem como ocasionar danos materiais ou morais a eles.
Adicionalmente, também serão consideradas infrações graves:
envolver tratamento de dados em larga escala;
o infrator auferir ou pretender auferir vantagem econômica
implicar risco à vida dos titulares
envolver dados sensíveis ou dados de crianças, adolescentes ou idosos
tratamento realizado sem amparo de base legal
tratamento realizado com efeitos discriminatórios ilícitos ou abusivos
adoção de práticas irregulares ou impedir a fiscalização da ANPD.
Além de estabelecer de forma objetiva tais critérios e características das infrações, a ANPD também se preocupou por elencar situações/condições que podem atenuar ou agravar a penalidade, as quais, no caso de agravantes, podem majorar as multas aplicadas em até 75%. Por outro lado, a ANPD também definiu que as ações preventivas de implementação e boas práticas são critérios que poderão atenuar as penalidades.
Vale ressaltar, que a LGPD prevê multas de até 2% calculado sobre faturamento que o infrator tiver obtido no último exercício disponível (limitadas a R$ 50 milhões por infração), lembrando-se que o valor definitivo irá variar conforme a classificação da gravidade da infração.
Por isso, a implementação de ações preventivas e de boas práticas de governança, são fundamentais para mitigar os riscos de incidentes, mas principalmente, para que, nos termos da nova resolução, demonstrem a boa-fé e a adequação as normas e assim buscar atenuar ou até mesmo eliminar uma eventual aplicação de penalidade pelo seu descumprimento.
Autora:
Mayara Caroline Mattar Sócia Coordenadora da Área de Societário e Planejamento Sucessório. Núcleo de Consultoria Empresarial mayara.mattar@bariladvogados.com.br Saiba mais em: https://bit.ly/mayaramattarᅠ
LGPD: published the ANPD Resolution that defines criteria for the application of sanctions
The General Law of Protection of Personal Data (LGPD) establishes measures to be observed by any and all companies and organizations that collect, store, process or share personal data.
And in order to ensure the protection of this data, as well as to ensure that the rights of data subjects are respected, the LGPD determines which measures must be observed. In addition, the LGPD provides for the application of administrative sanctions in case of non-compliance with its provisions. Infringements shall subject the infringer to the following administrative sanctions:
warning,
simple fine,
daily fine,
publicisation of the infringement, after its occurrence has been duly established and confirmed,
blocking of the personal data to which the infringement refers, until its regularization,
deletion of the personal data to which the infringement relates
partial suspension of the operation of the database to which the infringement relates
suspension of the exercise of the activity of processing the personal data to which the infringement relates
partial or total prohibition of the exercise of activities related to data processing.
However, the legislation did not make clear what the criteria for the application of the respective sanctions were. For this reason, a great discussion was generated about what would be the criteria to be adopted by the Supervisory Authority.
It was precisely for this reason that on February 27, 2023, the National Data Protection Authority – ANPD published Resolution No. 4, which presents the rules and procedures for the application of the dosimetry of the sanctions to be applied to companies and organizations (treatment agents) that do not comply with the terms of the LGPD, as well as other regulations issued by the Regulatory Authority. The Resolution establishes, in summary, the criteria for the application of administrative sanctions provided for in the LGPD, highlighting:
the seriousness of the offence committed;
the type and amount of personal data affected by the infringement;
the impact of the infringement on data subjects;
the offender's recidivism;
the offender's collaboration during the investigation process;
the good faith of the offender;
the advantage gained or intended by the offender;
the economic condition of the offender;
the degree of damage;
the existence of internal mechanisms and procedures capable of minimizing the damage, aimed at the safe and adequate treatment of data, in accordance with the LGPD;
the adoption of a policy of good practices and governance;
the prompt adoption of corrective measures;
the proportionality between the seriousness of the fault and the intensity of the penalty.
Such criteria presented by the Resolution, in an objective way, are essential for the application of penalties to occur, observing the proportionality and reasonableness according to the evaluation of the concrete case, but mainly to provide legal certainty to the inspection processes.
The infractions have been classified according to their nature and will be classified according to the above criteria and framed as a serious, medium or mild infraction.
It is extremely important to highlight that the Resolution already expressly determines that it will be characterized as an infringement of a serious nature when the infringement impacts the interests and fundamental rights of the holders, as well as causes material or moral damage to them.
In addition, serious offences will also be considered:
Involve large-scale data processing;
The offender earns or intends to gain economic advantage
entails a risk to the lives of the holders
involve sensitive data or data of children, adolescents or the elderly
Treatment carried out without legal basis
Processing carried out with unlawful or abusive discriminatory effects
Adoption of irregular practices or prevent the supervision of the ANPD.
In addition to objectively establishing such criteria and characteristics of infractions, the ANPD was also concerned with listing situations/conditions that can mitigate or aggravate the penalty, which, in the case of aggravating factors, can increase the fines applied by up to 75%. On the other hand, the ANPD also defined that preventive implementation actions and good practices are criteria that can mitigate penalties.
It is worth mentioning that the LGPD provides for fines of up to 2% calculated on the billing that the offender has obtained in the last available fiscal year (limited to R$ 50 million per infraction), remembering that the definitive amount will vary according to the classification of the severity of the infraction.
Therefore, the implementation of preventive actions and good governance practices are fundamental to mitigate the risks of incidents, but mainly, so that, under the terms of the new resolution, they demonstrate good faith and adequacy of the rules and thus seek to mitigate or even eliminate a possible application of penalty for non-compliance.
Authoress:
Mayara Caroline Mattar Coordinator Partner of the Area of Corporate Law and Succession Planning Business Consulting Department mayara.mattar@bariladvogados.com.br
Comments