Da equipe de healthcare e life sciences do Vernalha Pereira
A Autoridade Nacional de Proteção de Dados (ANPD) publicou, nesta segunda-feira (27/02/2023), o Regulamento de Dosimetria e Aplicação de Sanções Administrativas, que estabelece parâmetros e critérios para aplicação de penalidades por descumprimento à Lei Geral de Proteção de Dados (LGPD).
A norma define os critérios que viabilizam a aplicação de sanções em razão do descumprimento da LGPD. Além dos critérios que permitem a calibragem das sanções, o regulamento traz outras diretrizes, como circunstâncias agravantes e atenuantes, as quais serão utilizadas para customizar a sanção aplicável para cada caso.
Dois ganhos com a edição desse regulamento: (i) surge uma ferramenta fundamental para que a ANPD possa efetivamente iniciar processos administrativos em razão da violação do direito à intimidade e à privacidade; (ii) é estabelecido um critério auditável, a bem de viabilizar um controle social apto a impedir excessos ou deficiências na atividade sancionatória.
A LGPD já estabelecia as sanções aplicáveis em razão do descumprimento de seu conteúdo. Para relembrar: (i) advertências; (ii) multas, moratória e punitiva, de até 2% do faturamento da empresa, com teto de cinquenta milhões de reais; (iv) publicização ostensiva da infração; (v) bloqueio de tratamento de dados pessoais por operadores e controladores; (vi) eliminação dos dados pessoais a que se refere a infração; (vii) suspensão do exercício da atividade.
O regulamento vem, em boa medida, como instrumento para aplicação do artigo 54 da LGPD, o qual aponta que o valor e a intensidade da sanção derivarão de uma definição fundamentada da ANPD, a partir da gravidade da falta e da extensão do dano. Com o regulamento, as infrações passaram a ser classificadas em leve, média ou grave, tendo como base a natureza dos direitos pessoais afetados e a gravidade.
Caso não haja enquadramento em nenhuma das hipóteses de infrações médias ou graves, a sanção será leve. As infrações médias, por sua vez, serão identificadas quando puderem afetar significativamente interesses e direitos fundamentais dos titulares, bem como ocasionar danos materiais ou morais a eles. Os casos graves serão caracterizados quando, além das hipóteses da infração média, verificar-se pelo menos uma destas hipóteses: a) envolver tratamento em larga escala; b) o infrator auferir ou pretender auferir vantagem econômica; c) implicar risco à vida dos titulares; d) envolver tratamento de dados sensíveis ou de crianças, adolescentes ou idosos; e) o tratamento ter sido realizado sem amparo em uma base legal; f) tratamento tiver efeitos discriminatórios ilícitos ou abusivos; g) verificada a adoção sistemática de práticas irregulares.
O regulamento prevê, ainda, que o descumprimento da sanção ou seu não estancamento, poderá ensejar a progressão da atuação da ANPD para a aplicação de sanções mais graves, sem prejuízo da adoção das demais medidas legais cabíveis.
Vale ressaltar que a aplicação das penas pela ANPD não exclui a possibilidade de adoção de outras medidas administrativas, previstas na LGPD, em outras normas (como o Código de Defesa do Consumidor, por exemplo) e no Regulamento do Processo de Fiscalização e do Processo Administrativo Sancionador, de modo a garantir a adequação do infrator à legislação de proteção de dados pessoais.
Visando ao respeito por agentes (públicos e privados) à proteção de dados e, por extensão, à própria proteção da privacidade e da intimidade dos titulares, a normativa determina que as penalidades não financeiras também poderão ser impostas aos órgãos da Administração Pública. Disso decorrerá inevitável punição do agente público, na medida em que impactará no exercício da atividade administrativa.
A publicação do regulamento é um relevante passo para induzir entidades (públicas e privadas) a se adequarem às determinações da LGPD, as quais, em boa medida, orientam a maneira de se preservar dados e, por consequência, garantem em maior grau a proteção dos direitos fundamentais da intimidade, da privacidade, da imagem e da proteção de dados. Aos que seguem inertes nessa adequação, o regulamento é um forte incentivo para o fim dessa estagnação, já que aproxima essa paralisia às repercussões financeiras negativas e bastante intensas.
A área de Healthcare e Life Sciences permanece à disposição para esclarecer sobre este e outros temas de interesse de seus clientes e parceiros institucionais.
