Em 27 de fevereiro, a Autoridade Nacional de Proteção de Dados (ANPAD) publicou o Regulamento De Dosimetria e Aplicação de Sanções Administrativas. A norma era o que faltava para que o órgão começasse a multar descumprimentos referentes  à Lei Geral de Proteção de Dados (LGPD) .

 

A regulamentação conta com critérios importantes para definição do valor e para medir os danos causados pelos agentes. Lembrando que a dosimetria é um cálculo que auxilia na escolha da sanção mais apropriada para os casos de descumprimentos da LGPD. Em outras palavras, é uma metodologia que orienta o cálculo do valor-base das sanções de multa para infratores.  

 

Com o regulamento, foram selecionadas condições importantes para que a dosimetria seja a mais proporcional possível e que vá de acordo com a gravidade do ocorrido. 

 

Sendo assim, com a publicação, foram regulamentados os artigos 52 e 53  da LGPD e definido os critérios da Dosimetria. A elaboração do regulamento de dosimetria já estava prevista pelo Art.53 como um requisito para que a aplicação de multas fosse possível pela Autoridade. 

 

Critérios para a dosimetria

 

Em seu Art.7, é definido alguns parâmetros e critérios para a dosimetria. 

 

São eles:  

I - a gravidade e a natureza das infrações e dos direitos pessoais afetados;

 

II - a boa-fé do infrator;

 

III - a vantagem auferida ou pretendida pelo infrator;

 

IV - a condição econômica do infrator;

 

V - a reincidência específica;

 

VI - a reincidência genérica;

 

VII - o grau do dano, nos termos do Apêndice I deste Regulamento;

 

VIII - a cooperação do infrator;

 

IX - a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados, em consonância com a LGPD;

 

X - a adoção de política de boas práticas e governança;

 

XI - a pronta adoção de medidas corretivas; e

 

XII - a proporcionalidade entre a gravidade da falta e a intensidade da sanção.

 

Classificação das infrações

 

Infrações são classificadas de acordo com a gravidade, natureza das infrações e dos direitos pessoais dos afetados. Foi separado em três grupos: leve; média; ou grave. 

 

A infração será considerada leve quando não for verificada nenhuma das hipóteses relacionadas no segundo ou no terceiro  parágrafo  do Art.8. 

 

No segundo parágrafo consta que para a multa ser considerada média, ela precisa afetar interesses e direitos fundamentais dos titulares de dados pessoais, caracterizada nas situações em que a atividade de tratamento destes dados puder impedir ou limitar o exercício de direitos ou a utilização de serviços. 

 

No terceiro parágrafo, por sua vez, para que uma infração seja considerada como grave, deve ser verificada a hipótese estabelecida no segundo parágrafo e, de uma forma cumulativa, conte pelo menos uma das seguintes características transgressoras: 

 

1. a) envolver tratamento de dados pessoais em larga escala, caracterizado quando abranger número significativo de titulares, considerando-se, ainda, o volume de dados envolvidos, bem como a duração, a frequência e a extensão geográfica do tratamento realizado;

 

1. b) o infrator auferir ou pretender auferir vantagem econômica em decorrência da infração cometida;

 

1. c) a infração implicar risco à vida dos titulares;

 

1. d) a infração envolver tratamento de dados sensíveis ou de dados pessoais de crianças, de adolescentes ou de idosos;

 

1. e) o infrator realizar tratamento de dados pessoais sem amparo em uma das hipóteses legais previstas na LGPD;

 

1. f) o infrator realizar tratamento com efeitos discriminatórios ilícitos ou abusivos; ou

 

1. g) verificada a adoção sistemática de práticas irregulares pelo infrator;

 

II - constituir obstrução à atividade de fiscalização.

 

Sanções aplicáveis ao descumprimento

 

A multa deverá ser paga no prazo de até 20 (vinte) dias úteis, contados depois do conhecimento da notificação. Todas as sanções já estão previstas na LGPD, são elas: 

 

• Advertência; 

 

• Multa simples, de até 2% (dois por cento) do faturamento da empresa, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais), por infração; 

 

• Multa diária, com limite total de R$ 50.000.000,00 (cinquenta milhões de reais); 

 

• Publicização da infração; 

 

• Bloqueio dos dados pessoais; 

 

• Eliminação dos dados pessoais; 

 

• Suspensão parcial do funcionamento do banco de dados por no máximo de 6 (seis) meses, prorrogável por igual período, até que se regularize a situação;  

 

• Suspensão do exercício da atividade de tratamento dos dados pessoais por no máximo de 6 (seis) meses, prorrogável por igual período;   

 

• Proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.     

 

O Poder Público não pode ser multado. No entanto, outras sensações previstas acima podem ser aplicadas. Todo o dinheiro arrecadado em decorrência das multas será destinado ao Fundo de Defesa de Direitos Difusos.