fbpx

Artigo

PUBLICAÇÃO

A RESOLUÇÃO nº 4 DA ANPD para a Dosimetria e Aplicação de Sanções Administrativas ao descumprimento da LGPD: O que importa saber a respeito?

Postado por 

RESOLUÇÃO nº 4 DA ANPD

Nesta segunda-feira, 27/02/2022, foi o dia de um marco para o Brasil no quesito, proteção de dados pessoais: a ANPD publicou, no Diário Oficial, a tão aguardada RESOLUÇÃO nº 4 da ANPD (CD/ANPD Nº 4) que “Aprova o Regulamento de Dosimetria e Aplicação de Sanções Administrativas“.

Este Regulamento definiu uma série de sanções para as violações de direitos dos titulares de dados pessoais, sejam advertências, multas e interrupção e proibição do tratamento destes dados de forma irregular.

A Resolução é o que faltava para a efetiva garantia do Direito Fundamental dos Titulares de Dados, levando o Brasil a um novo patamar com relação a sua regulamentação no tema, mais alinhado às melhores práticas internacionais, e ao mesmo tempo, à pouca maturidade do país sobre o assunto – especialmente se comparada outros países europeus, como por exemplo, a Alemanha.

Antes de sua aprovação, passou por muitas etapas, iniciando pela agenda regulatória, que envolve a priorização de temas:

O processo de elaboração e aprovação da Resolução nº 4 da ANPD:

Criou-se o projeto dentro da ANPD, com a participação de várias instâncias; foi realizado uma AIR (Análise Interna de Risco), com o levantamento de benchmarks internacionais e estudos; até resultar em uma minuta do regulamento que foi amplamente discutida internamente.

Após, o processo foi à procuradoria da ANPD, que avaliou e retornou para a gestão do projeto. O resultado foi encaminhado ao Conselho que, por sua vez, encaminhou às consultas públicas e para audiência pública, com 24 participações.

Importa destacar que, ainda com uma equipe reduzida a Coordenação Geral de Normatização (CGN), a ANPD proporcionou uma norma de bastante qualidade, sem dúvidas a norma mais esperada até o momento, que contou com a contribuição na consulta pública com 2504 sugestões.

Depois de analisadas as discussões e contribuições, o material foi encaminhado à procuradoria para a análise jurídica, retornando à CGN, que avaliou o parecer e, por fim, encaminhou-o ao Conselho da ANPD para deliberação.

O Regulamento prevê as atividades de monitoramento, orientação, prevenção e repressão, tendo por objetivo estabelecer parâmetros e critérios para aplicação de sanções administrativas pela Autoridade Nacional de Proteção de Dados (ANPD) “na dose certa”, bem como as formas e dosimetrias para o cálculo do valor-base das sanções de multa. Busca aprimorar o processo administrativo sancionador e de fiscalização, fazendo com que a ANPD possa realizar suas atividades repressivas dentro da conformidade legal, trazendo maior segurança jurídica e transparência.

Ficou claro que a sanção administrativa é apenas uma das ferramentas que a ANPD possui para conduzir o Agente de Tratamento de Dados Pessoais à conformidade legal.

Enfatizando-se, agora, a dosimetria, nada mais é do que “dose” (grau) que a ANPD aplicará a penalidade ao infrator, levando em consideração a proporção que ela precisa acontecer, dentre diversos fatores (como o dano da infração e os atenuantes e agravantes).

O modelo adotado pela ANPD foi o da valoração, proporcionando maior flexibilidade e trazendo mais transparência no cálculo de adoção da sanção. Pautada nos critérios que definem as sanções, leva em consideração a natureza e gravidade, atenuantes, agravante, com uma metodologia que classifica a infração em leve, média e grave, com o foco sendo o Direito dos Titulares.

A Resolução nº 4 da ANPD aborda as circunstâncias atenuantes e agravantes em sua subseção III (art. 13), valendo sublinhar que a boa fé do agente de tratamento de dados pessoais, sua proatividade na solução de incidentes, uma governança de dados comprovadamente implementada e adequada, dentre outros fatores, constam expressamente descritos como fatores que podem advogar em defesa de quem viola o direito dos titulares.

Em termos práticos, portanto, a dosimetria visa assegurar proporcionalidade entre a sanção aplicada e a gravidade da conduta do Agente, levando em consideração, entre outros aspectos, o seu porte – inclusive para organizações sem fins lucrativos ou sem faturamento no último período fiscal.

Aplicação de Sanções Administrativas ao descumprimento da LGPD

Cabe esclarecer que as fiscalizações já ocorriam desde a constituição da ANPD, através de convocação de empresas e solicitação da adoção de medidas corretivas.

A ANPD atuava através da escuta da sociedade: do que a sociedade levava ao órgão, ou mesmo, do que o próprio órgão detectava que estava ocorrendo na sociedade.

Neste ponto, dois modelos já foram divulgados há certo tempo: a “Petição do Titular” e a “Denúncia”.

Na “Petição do Titular”, o Titular que tenta exercer um dos seus direitos previstos na LGPD e não é atendido, ou é atendido de forma não satisfatória, pode levar sua reclamação à ANPD através deste formulário:  link.

Já as “denúncias” não precisam partir de um Titular envolvido, podendo ser realizadas de maneira anônima, bastando que este queira levar um fato ao conhecimento da ANPD neste formato: link.

Ademais da dosimentria, ao que mais interessa estarmos atentos em relação às inovações trazidas pela Resolução nº 4 da ANPD?

A ANPD tentou aproximar as sanções da LGPD ao negócio, informando que acionará o regulador setorial, como vemos no art. 3 § 2º.

Importante ressaltar que no art. 8, seção II, em “Classificação das Infrações”, são destacados o risco à vida, os dados pessoais sensíveis e os dados pessoais de crianças, adolescentes e idosos, assim como tratamento com efeitos discriminatórios ilícitos ou abusivos.

Para o cálculo da multa, leva-se em consideração vários fatores, inclusive, o tempo de adequação. É definido como agravante “realizar tratamento de dados pessoais sem amparo em uma das hipóteses legais previstas na LGPD.”

O objetivo é solucionar o problema e, não sendo resolvido, aplicam-se as multas e/ou outras sanções.

Com relação ao poder público, pode-se chegar à responsabilização dos dirigentes. Normalmente, o órgão publico trata o dado por uma obrigação legal, portanto, as advertências virão com medidas corretivas e responsabilizações aos agentes, causando, inclusive, o constrangimento ao órgão publico, já que não pode gerar multa.

Aplicação de Sanções Administrativas ao descumprimento da LGPD

Conclusão

A partir da publicação da Resolução nº 4 da ANPD, o ordenamento jurídico brasileiro passa a ter regras para a aplicação, com dosimetria, de sanções administrativas aos que violarem os direitos dos titulares de dados pessoais, completando, pois, a ação repressiva que faltava a eficácia da LGPD.

Com isto, espera-se uma maior conscientização dos agentes de tratamento acerca de sua responsabilidade perante os titulares, bem como um aumento nos indicadores de organizações públicas e privadas aderentes à Governança em Privacidade de Dados, investindo seu capital humano, financeiro e tecnológico à estrita observância de uma Lei que, datada de 2018, urge ser aprendida e praticada.

Por fim, nunca é demais lembrar que a multa é, sim, uma punição relevante, mas, independente dela, as consequências à reputação e ao mercado nos casos de violação ou incidentes envolvendo dados pessoais representam, sem dúvidas, impacto ainda maior ao Agente de Tratamento, podendo ser irreversíveis à sua credibilidade e sobrevivência perante o mercado nacional e internacional.

***

Roberta Volpato Hanoff

Sobre Roberta Volpato Hanoff

É CEO e Fundadora da Studio Estratégia – Governança, Riscos e Compliance, graduada em Direito pela Universidade Federal de Santa Catarina – UFSC, especialista em Direito Empresarial com ênfase em Recuperação Judicial, Falência e Administração de Crises pela FGV/Rio, CPC-A® (Anti-Corruption Compliance Certified Expert) e Auditora Líder para as Normas ISO 19600:2014 e ISO 37001:2016 (Sistemas de Gestão de Compliance e Antissuborno).

Email: roberta@studioestrategia.com.br

Sobre Edson Costa

É o DPO e Head de Segurança e Proteção de Dados Pessoais do Studio Estratégia. Também, é CEO e Fundador da ECCON, graduado em Engenharia Eletrônica pela Fundação Armando Alvares Penteado – FAAP, especialista em Governança, Risco e Compliance (GRC), Gestão e Tecnologia em Segurança da Informação (DM Business School e Faculdade Impacta de Tecnologia), certificado Data Protection Officer (DPO) pela EXIN, instrutor certificado pela EXIN ISFS, PDPE, PDPF e PDPP, Membro ANPPD® e parceiro do Studio Estratégia para execução de serviços de implementação de Segurança da Informação e Proteção de Dados (GDPR e LGPD). Instrutor oficial da EXIN para certificação de profissionais como DPO. DPO (Terceirizado) de importantes e conceituadas empresas de pequeno, médio e grande porte, como GREENPEACE Brasil e HARALD Chocolates.

Email: edson.costa@ecconsulting.com.br

Uma resposta

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Categorias

NEWSLETTER STUDIO ESTRATÉGIA​

Digite seu endereço de e-mail para assinar nosso blog e receber notificações de novas publicações por e-mail.

Tags

Entre em contato conosco

Quer saber mais sobre compliance?

SOBRE

COMPLIANCE

COMPLIANCE E TECNOLOGIA

STUDIO ESTRATÉGIA 2019 RUA ALMIRANTE ALVIM, Nº 595, CENTRO, FLORIANÓPOLIS/SC CEP: 88015-380

error: Conteúdo Protegido !!