A Autoridade Nacional de Proteção de Dados (ANPD) publicou em 27/2 o Regulamento de Dosimetria e Aplicação de Sanções Administrativas, que prevê critérios para a aplicação das sanções administrativas previstas na lei 13.709/2018, a Lei Geral de Proteção de Dados (LGPD). 

O regulamento contou com mais de 2.000 sugestões da sociedade civil e setores da economia. Com ele, a ANPD passa a deter o ferramental necessário para dar início imediato à aplicação das sanções da LGPD. O maior destaque do regulamento está no Apêndice I, que trata da metodologia para o cálculo das sanções de multa.

Chama a atenção a classificação das sanções conforme a gravidade, dividindo-se em sanções leves, médias e graves. Vale lembrar que a LGPD prevê multas de até 2% do faturamento que o infrator tiver obtido no último exercício disponível (limitadas a R$ 50 milhões por infração), de modo que eventual penalidade pecuniária variará conforme a classificação da gravidade da infração.

Pelo regulamento, serão consideradas infrações graves aquelas que indicarem ao menos um dos fatos abaixo: 

1. Envolver tratamento de dados em larga escala
2. O infrator auferir ou pretender auferir vantagem econômica
3. A infração implicar risco à vida dos titulares
4. A infração envolver dados sensíveis ou dados de crianças, adolescentes ou idosos
5. Se o tratamento for realizado sem amparo de base legal
6. Se o tratamento for realizado com efeitos discriminatórios ilícitos ou abusivos
7. Quando for verificada a adoção sistemática de práticas irregulares ou quando houver obstrução da atividade fiscalizatória da ANPD

Para aplicação de sanções graves, a infração também precisa afetar interesses e direitos dos titulares ou ocasionar danos morais ou materiais aos titulares, conforme previsto no § 2º do art. 8 do regulamento.

Por fim, na dosimetria da aplicação das multas, a ANPD delimitou condições atenuantes ou agravantes, com destaque para:  

Condições agravantes do valor da multa:

• +10% em caso de reincidências específicas até o limite de 40%. A reincidência específica é a repetição da mesma infração no período de 5 anos
• +5% em caso de reincidências genéricas até o limite de 20%. A reincidência genérica é quando o infrator que já tenha sido penalizado comete outra infração no período de 5 anos
• +20% para cada medida de orientação ou preventiva apresentada pela ANPD descumprida até o limite de 80%
• +30% para cada medida corretiva apresentada pela ANPD descumprida, até o limite de 90%

Condições atenuantes da multa: 

• -75% no caso da interrupção da infração antes da instauração do procedimento preparatório da ANPD
• -50% no caso da interrupção da infração após a instauração do procedimento preparatório da ANPD
• -30% no caso da interrupção da infração após a instauração do processo administrativo da ANPD
• -20% nos casos de implementação de política de boas práticas e de governança ou de adoção medidas técnicas ou administrativas capazes de minimizar os danos aos titulares, até a prolação da decisão de primeira instância no âmbito do processo administrativo sancionador
• -20% se comprovada a implementação de medidas capazes de reverter ou mitigar os efeitos da infração previamente à instauração de procedimento preparatório ou processo administrativo sancionador pela ANPD
• -10% se comprovada a implementação de medidas capazes de reverter ou mitigar os efeitos da infração após a instauração de procedimento preparatório ou processo administrativo sancionador pela ANPD
• -5% nos casos em que se verifique a cooperação ou boa-fé por parte do infrator

Destaca-se que, entre as condições que diminuem o valor da multa, estão indicadas ações preventivas de implementação de boas práticas de governança. Reforçando assim a necessidade de que as empresas, grupos ou conglomerados implementem em suas organizações programas de governança em privacidade e proteção de dados. 

A ANPD ainda fixou o exíguo prazo de 20 dias para o pagamento da multa, contados da ciência do infrator. O infrator que renunciar ao direito de recorrer em primeira instância receberá o desconto de 25% no valor total que será pago no prazo indicado acima. 

Portanto, podemos esperar muita movimentação no campo da privacidade e proteção de dados no Brasil, seja pela aplicação de sanções pela ANPD ou pelos agentes de tratamento de dados pessoais buscando adequar os seus processos internos aos termos da LGPD.