RESOLUÇÃO CD/ANPD Nº 4: e agora? Quais os impactos dentro das empresas?
Por Ricardo Maravalhas
Você trata dados pessoais? Impossível não tratar! Fique atento, pois agora você já pode saber quanto sua empresa poderá pagar de multa, caso seja condenada pela ANPD, em eventual processo administrativo. Vejamos sobre o que se trata a Resolução nº 4 e quais os maiores impactos, sobretudo práticos, para os agentes de tratamentos.
Dizem que no Brasil, o ano só começa depois do Carnaval, certo? O ano “novo” mal começou e a ANPD não perdeu tempo publicando hoje, 27/02, o Regulamento de Dosimetria e Aplicação de Sanções Administrativas.
Quem estava presente no DPOday, evento promovido pela DPOnet, no dia 27 de janeiro de 2023, em comemoração ao dia internacional da proteção de dados, não ficou nada surpreso, pois o relator da norma, Diretor Arthur Sabbat, presente em nosso evento, já havia adiantado ao público que, em breve, a norma seria publicada.
Também não é novidade para ninguém que acompanha o “mundo” da proteção de dados que a LGPD trouxe como sanções, em caso de descumprimento das obrigações impostas pela lei: advertência; multas simples e diárias; publicização da infração após devidamente apurada e confirmada a sua ocorrência; bloqueio dos dados pessoais a que se refere a infração até a sua regularização; eliminação dos dados pessoais a que se refere a infração; suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador; suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período; proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados. Contudo, a LGPD não trouxe os critérios e parâmetros a serem utilizados na aplicação de cada uma dessas sanções, cabendo à ANPD a regulação do tema.
A Resolução nº 4, publicada no dia 27 de fevereiro, tem exatamente esse papel: estabelecer as circunstâncias, as condições e os métodos de aplicação das sanções, previstas no artigo 52 da LGPD. Justamente por isso, essa norma foi muito aguardada pelos agentes de tratamento de dados e encarregados, pois visa garantir a proporcionalidade entre a sanção aplicada e a gravidade da conduta do agente, além de proporcionar segurança jurídica aos processos fiscalizatórios e garantir o direito ao devido processo legal e ao contraditório.
Qual o maior impacto para os agentes de tratamento? Como o regulamento entra em vigor imediatamente após a sua publicação, a partir de agora, a ANPD poderá aplicar as sanções administrativas com base em requisitos estabelecidos na Resolução nº 4, tais como: Gravidade e natureza das infrações e dos direitos pessoais afetados; boa-fé do infrator; vantagem auferida ou pretendida pelo infrator; Condição econômica do infrator; Reincidência; Grau do dano; Cooperação do infrator; Adoção de mecanismos e procedimentos internos capazes de minimizar o dano; Adoção de política de boas práticas e governança; Pronta adoção de medidas corretivas; e Proporcionalidade entre a gravidade da falta e a intensidade da sanção.
As sanções somente serão aplicadas após o processo administrativo devidamente instaurado, cuja ampla defesa e o contraditório são garantidos.
Diante da complexidade do tema, a norma é extensa, oportunidade em que a ANPD apresenta, inicialmente, as definições de grupo ou conglomerado de empresas (que impactará no cálculo da multa, que tem como um dos fatores o faturamento da empresa ou grupo); infração; infrator; reincidência específica e genérica, que também impactam no cálculo da multa.
Além disso, a autoridade apresenta uma importante classificação das infrações em: leve, média e grave. Essa classificação além de estar relacionada a metodologia adotada na dosimetria, também determina, por exemplo, que para infrações consideradas graves, a advertência não poderá ser aplicada.
Não podemos deixar de nos atentar ao fato de que no cálculo da multa serão levados em consideração as chamadas atenuantes e agravantes, ou seja, condutas que o agente de tratamento teve que podem ser levadas em consideração pela ANPD para majorar ou diminuir o valor da sanção pecuniária.
- Quais são as agravantes? Reincidência específica; reincidência genérica; medidas de orientação e corretivas descumpridas;
- Quais são as atenuantes? Cessar a infração; Implementação de política de boas práticas e de governança ou de adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar os danos aos titulares; comprovar a implementação de medidas capazes de reverter ou mitigar os efeitos da infração sobre os titulares de dados pessoais afetados;
Dessa forma, ter um programa de implementação e adequação à LGPD, acompanhado por um DPO e especialistas na área, reduz (e muito) as chances de cometimento de infrações e, mesmo que elas ocorram, o fato de já terem sido adotados e demonstrados mecanismos capazes de minimizar o risco do tratamento de aos titulares, poderão reduzir os valores aplicados a título de multa, pois o agente de tratamento estará apto a demonstrar que se encaixa nos benefícios oferecidos pelas atenuantes previstas na Resolução nº 4.
Ficou curioso para saber mais detalhes da Resolução nº 4? Fique ligado nas nossas análises e visite também o texto da norma na íntegra: aqui.
* Ricardo Maravalhas é fundador e CEO da DPOnet, empresa que nasceu com o propósito de democratizar, automatizar e simplificar a jornada de conformidade com a LGPD por meio de uma plataforma SaaS completa de Gestão de Privacidade, Segurança e Governança de Dados, com serviço de DPO embarcado, atendimento de titulares, que utiliza o conceito de Business Process Outsourcing (BPO).
Ricardo Maravalhas, é Pós-graduado pela Universidade Estadual de Londrina, mestre pela Universidade de Marília, especialista em Direito Digital, Proteção de Dados e Direito das Start-ups, com certificações na FGV/GVLaw, INSPER, Opice Blum Academy, e EDEVO.