ANPD publica regulamento para aplicação de multas e sanções por infrações à LGPD

A ANPD publicou (28/02/2023) o tão aguardado “Regulamento de Dosimetria e de Aplicação de Sanções Administrativas”. Documento esse que estabelece os parâmetros e critérios para a aplicação das multas e demais sanções administrativas pela ANPD em casos de descumprimento das obrigações previstas na LGPD.

A partir da publicação do Regulamento, espera-se que a ANPD adote uma postura mais contundente e atuante na determinação de sanções e penalidades para infrações de privacidade e proteção de dados, à semelhança das Autoridades Nacionais europeias.

O Regulamento traz alguns conceitos importantes, como a consideração do ramo de atividade empresarial do infrator, além do caso concreto, ao determinar as medidas corretivas e as punições aplicáveis à infração.

Dessa forma, as políticas de boas práticas e de governança adotadas num mesmo segmento de indústria, serviços ou setor servirão como benchmark para a ANPD quantificar e determinar multas e demais sanções administrativas.

Ainda, a ANPD também irá considerar o faturamento do infrator no exercício anterior à aplicação da penalidade, além da gravidade do dano em si e do olhar individualizado para a infração cometida e o agente envolvido.

O Regulamento também traz conceitos de “reincidência específica” ou “reincidência genérica” de infrações, como agravantes da penalidade, e estabelece a janela de 5 anos para o caso de ser constatada essa reincidência, o que é um período bastante extenso num contexto de dinamismo das relações.

Por outro lado, o Regulamento prevê algumas circunstâncias atenuantes que podem ensejar “descontos progressivos” no valor da multa, como a cessação da infração, a adoção de políticas de boas práticas e de governança, a adoção de medidas capazes de reverter ou mitigar os efeitos da infração sobre os titulares de dados pessoais afetados e a cooperação ou boa-fé por parte do infrator.

O Regulamento da ANPD manteve o limite total de multa no valor de R$ 50 milhões de reais por infração, cuja determinação considerará, também, o tempo entre a incidência de multa, o cumprimento da obrigação, a extensão do dano e o prejuízo causado.

É importante, portanto, que as políticas de boas práticas e de governança sejam perenes, efetivas e aderentes, voltadas à privacidade e proteção de dados.

Além disso, é fundamental que essas práticas orientem a adoção de mecanismos efetivos de proteção e segurança que acompanhem o estado da arte no setor considerado.