Com a publicação da norma de dosimetria pela Autoridade Nacional de Proteção de Dados (ANPD) nesta segunda-feira (27), as empresas que descumprirem a Lei Geral de Proteção de Dados (LGPD) podem, a partir de agora, ser alvo de multas e outras penalidades administrativas.

Essa regulamentação era o que faltava para o andamento dos processos que já estavam em curso - ainda não públicos - e os que virão. Isso porque, apesar de as infrações já terem sido estabelecidas pela lei, em vigor desde setembro de 2020, era necessária uma norma para dosar a aplicação das sanções. As multas podem chegar a 2% do faturamento das empresas, limitadas a R$ 50 milhões por infração.

Segundo a advogada Carolina Lagoa, cofundadora da Witec It Solutions, consultoria em TI especializada em Segurança da Informação, o regulamento busca garantir a proporcionalidade entre a sanção aplicada e a gravidade da conduta, o que proporciona "segurança jurídica aos processos fiscalizatórios".

Termos de ajustamento

Até então, não existiam sanções sendo aplicadas às empresas que infringiam a LGPD, e sim Termos de Ajustamento de Conduta (TAC) e similares. "A regulamentação da dosimetria é um marco essencial para a efetiva aplicação da LGPD. Era uma lacuna pendente desde a edição da lei, em 2018. Até agora, as empresas não possuíam um referencial objetivo da exposição à qual estavam submetidas quando descumpriam a norma", afirma o advogado Rodrigo Azevedo, sócio coordenador da área de Direito Digital de Silveiro Advogados.

A norma determina a aplicação de penalidades de forma gradativa, nos níveis leve, médio e grave. As multas de grau médio são as que podem "afetar significativamente interesses e direitos fundamentais dos titulares de dados pessoais" ou causar "danos materiais ou morais aos titulares, como discriminação; violação à integridade física; ao direito à imagem e à reputação; fraudes financeiras ou uso indevido de identidade".

Já as multas graves envolvem o "tratamento de dados pessoais em larga escala", bem como a duração, frequência e a extensão geográfica da exposição dos dados. A classificação leva em conta ainda os infratores que pretendem obter "vantagem econômica", que impliquem risco à vida dos titulares, principalmente se forem dados sensíveis ou de dados pessoais de crianças, adolescentes ou idosos.

As multas de grau leve não se enquadram em nenhuma das duas categorias, de acordo com a regulamentação. Elas começam em R$ 3 mil. As de grau médio em R$ 6 mil e as graves em R$ 12 mil. Esses valores aumentam de acordo com a gravidade das infrações, condição econômica do infrator, adoção de políticas de boas práticas e governança do infrator, adoção imediata de medidas corretivas, dentre outras.

Reincidência

Se houver reincidência da infração em até cinco anos desde o trânsito em julgado do processo administrativo, a multa será maior. O mesmo acontece se a regularização da conduta não for feita no prazo estipulado pela ANPD. Existem ainda descontos para aqueles que tenham comprovado adotar medidas capazes de mitigar ou reverter os efeitos da infração sobre os titulares dos dados.

Na visão da advogada Patrícia Peck, CEO e sócia-fundadora do Peck Advogados, a resolução atendeu às expectativas do mercado. "Era o último passo para que a ANPD pudesse começar a aplicação das sanções administrativas. A dosimetria permite tratar de forma detalhada como será a apuração da gravidade das violações e sua correspondência com a penalidade", afirma.

Alguns conceitos como reincidência e conglomerado de empresas ficaram mais claros. Outros, nem tanto, como os do artigo 8, que classifica o grau das infrações. "Dá um espaço muito grande de subjetividade, porque não diz o que seria a exposição de dados em larga escala, nem duração, nem frequência", avalia. Outra lacuna, segundo Peck, é a aplicação de penalidades ao serviço público. "A dosimetria focou nas entidades privadas e de economia mista", acrescenta.

Fonte: O Sul