O logo ADNP é propriedade da autoridade nacional de proteção de dados.
A partir de agora a Autoridade Brasileira de Proteção de Dados – ANPD pode aplicar sanções administrativas por violação da Lei Geral de Proteção de Dados – LGPD
1 - Nova resolução
O ponto central para qualquer organização sujeita à legislação de proteção de dados pessoais, como o GDPR na Europa ou a LGPD no Brasil, é o risco de estar sujeita a uma penalidade administrativa elevada. A penalização financeira pode ir até 4% do volume de negócios anual global de uma empresa na Europa ou 20.000.000,00 euros para uma organização sem volume de negócios. A lei brasileira (LGPD) prevê um máximo de R$ 50.000.000,00 por infração (aproximadamente 10.000.000,00 Euros).
Embora a Autoridade Nacional de Proteção de Dados do Brasil – ANPD já tenha recebido mais de 7.000 reclamações e oito procedimentos aguardam definição de sanções, estas não poderão ser aplicadas sem a adoção da regulamentação prevista no artigo 53 da LGPD, assim redigida:
– “Art.53. A autoridade nacional de proteção de dados – ANPD definirá, por meio de regulamento próprio sobre sanções administrativas aplicáveis às infrações a esta lei, que deverá ser objeto de consulta pública, os métodos que orientarão o cálculo do valor básico das multas.
– § 1º As metodologias referidas no âmbito deste artigo deverão ser publicadas previamente, para conhecimento dos agentes de tratamento, e deverão apresentar objetivamente os formulários e dosimetria para cálculo do valor básico das sanções de multas, que deverão conter fundamentação detalhada de todos os seus elementos, demonstrando o cumprimento dos critérios previstos nesta lei.
É justamente essa metodologia de determinação de sanções que consta da nova resolução CD/ANPD n.4, de 24.02.2023. A partir da data de publicação desta Resolução CD/ANPD n. 4 (27.02.2023), podem, portanto, ser aplicadas sanções.
A Resolução nº 4 publica “regulamentação de dosagem e aplicação de sanções administrativas”.
2 - Nove sanções administrativas estão previstas na LGPD:
I – advertência;
II – multa simples;
III – multa diária;
IV – publicação do delito;
V – bloqueio de dados pessoais;
VI – eliminação de dados pessoais;
VII – suspensão da base de dados;
VIII – suspensão do tratamento de dados; e
IX – proibição parcial ou total de atividades que envolvam dados pessoais.
O artigo 5º do Regulamento sobre a dosagem das sanções especifica que as sanções serão aplicadas de forma gradual, individual ou cumulativa, de acordo com as particularidades do caso concreto.
3 - As infrações são classificadas em três categorias:
(a) leves: quando não são nem médios nem graves.
(b) médios: quando podem afetar significativamente os interesses e direitos fundamentais dos titulares.
(c) graves: quando, além da violação dos interesses e direitos fundamentais dos titulares:
(i) se referirem ao tratamento em grande escala; ou
(ii) o objectivo da infracção foi obter uma vantagem económica; ou
(iii) a infração representa risco à vida dos titulares; ou
(iv) a infração diz respeito a dados sensíveis, ou de crianças, adolescentes ou idosos ; ou
(v) o tratamento dos dados não for lícito; ou
(vi) o tratamento for realizado com efeitos discriminatórios ilícitos; ou
(vii) existem práticas irregulares sistemáticas do infrator; ou
(viii) em caso de obstrução às atividades de controle da ANPD.
Também é fornecida uma metodologia para cálculo de multas.
