LGPD: multa para não aplicação

Por Cristiano Reis | Tributação

LGPD: entenda como funciona a multa para não aplicação, quais os critérios para a aplicação de sanções, o que são os agentes de tratamento, quais as infrações e o que é dosimetria.

A Lei Geral de Proteção de Dados (LGPD), tratada na Lei 13.709/2018, regula as atividades de tratamento de informações pessoais a partir do acesso à internet, inviolabilidade e guarda das informações pessoais.

Já falamos aqui em nosso Blog sobre a LGPD, explicando o que é e mostrando um passo a passo para saber se a empresa está adaptada a esta Lei.

Com o passar o tempo e com a maturação da Lei, as empresas foram se adaptando e mudando seus processos.

O tempo foi dado. Em 2023 iniciam-se as primeiras sanções por infração da LGPD começam a ser aplicadas.

Essas penalidades vêm após a Autoridade Nacional de Proteção de Dados (ANPD) publicar uma resolução aprovando o regulamento de fiscalização e o processo administrativo que será aplicado nas sanções.

Diante disso, a aplicação de advertências e multas vai se basear no que foi chamado de “dosimetria”.

Dosimetria

A dosimetria vem a ser a “dose” na qual a multa será aplicada, conforme a infração cometida pela empresa ao não se adaptar à LGPD.

Ela dá uma estrutura ao sistema de aplicação de multas, colocando um peso em cada infração.

Essas são as características da dosimetria:

Classificar as infrações como leves, médias ou graves;
Estipular critérios para aplicar as advertências, multas simples e diárias, bloqueios e eliminação dos dados pessoais, suspensões do funcionamento dos bancos de dados, proibições do exercício de atividades de tratamento de dados e divulgação da infração;
Determinar agravantes e atenuantes;
Criar metodologias para aplicação de sanção de multa (alíquotas, valores da multa e adaptação aos limites mínimo e máximo da multa).

Critérios de aplicação de sanções

O artigo 52 da Lei 13.709/2018 traz as sanções aplicáveis à violação das regras da LGPD.

A Autoridade Nacional pode punir a quebra das regras da LGPD com multas que variam desde advertências até R$ 50 milhões.

A variação vai depender do tamanho da infração que a ANPD julgar (dosimetria).

Estes são os critérios adotados na aplicação das sanções conforme o Artigo 52:

1 – a gravidade e a natureza das infrações e dos direitos pessoais afetados;
2 – a boa-fé do infrator;
3 – a vantagem auferida ou pretendida pelo infrator;
4 – a condição econômica do infrator;
5 – a reincidência;
6 – o grau do dano;
7 – a cooperação do infrator;
8 – a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados, em consonância com o disposto no inciso II do § 2º do art. 48 desta Lei;
9 – a adoção de política de boas práticas e governança;
10 – a pronta adoção de medidas corretivas;
11 – a proporcionalidade entre a gravidade da falta e a intensidade da sanção.

Agentes de tratamento

Ao observar a Lei 13.709/2018 o termo “agentes de tratamento” é bastante citado.

Quem são os agentes de tratamento?

Os agentes de tratamento vêm a ser qualquer site ou empresa que faz a coleta dos dados.

Ao solicitar dados de outras pessoas ou mesmo de outra empresas, o agente de tratamento se torna responsável por estas informações.

Mas não podemos dizer que todos podem ser multados por coletar dados.

Hás exceções tratadas no Artigo 4 da Lei:

1 – pessoa natural (pessoas físicas) para fins exclusivamente particulares e não econômicos;
2 – quando a informação é usada de forma exclusiva com fins jornalísticos ou artísticos;
3 – quando a informação for para fins acadêmicos desde que aplicadas as hipóteses dos Artigos 7 e 11 da Lei;
4 – fins exclusivos de segurança pública, defesa nacional, segurança do estado ou atividades de investigação e repressão de infrações penais;
5 – provenientes de fora do território nacional e que não sejam objeto de comunicação, uso compartilhado de dados com agentes de tratamento brasileiros ou objeto de transferência internacional de dados com outro país que não o de proveniência, desde que o país de proveniência proporcione grau de proteção de dados pessoais adequado ao previsto nesta Lei.

O Artigo 4 tem algumas observações importantes relativas ao tratamento da exceção 4 descrita:

§ 1º O tratamento de dados pessoais será regido por legislação específica, que deverá prever medidas proporcionais e estritamente necessárias ao atendimento do interesse público, observados o devido processo legal, os princípios gerais de proteção e os direitos do titular previstos nesta Lei.

§ 2º É vedado o tratamento dos dados por pessoa de direito privado, exceto em procedimentos sob tutela de pessoa jurídica de direito público, que serão objeto de informe específico à autoridade nacional e que deverão observar a limitação imposta no § 4º deste artigo.

§ 3º A autoridade nacional emitirá opiniões técnicas ou recomendações referentes às exceções previstas na exceção 4 e deverá solicitar aos responsáveis relatórios de impacto à proteção de dados pessoais.

§ 4º Em nenhum caso a totalidade dos dados pessoais de banco de dados poderá ser tratada por pessoa de direito privado, salvo por aquela que possua capital integralmente constituído pelo poder público.

Infrações

A ANPD poderá aplicar as seguintes multas ou sanções administrativas, de acordo com as infrações cometidas pelos agentes de tratamento:

1 – advertência, com indicação de prazo para adoção de medidas corretivas;
2 – multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
3 – multa diária, observado o limite total a que se refere o item 2;
4 – publicação da infração após devidamente apurada e confirmada a sua ocorrência;
5 – bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
6 – eliminação dos dados pessoais a que se refere a infração;
7 – suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;
8 – suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período;
9 – proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.

Fique Atento

A dosimetria instituída pela ANPD norteia tanto para a Autoridade Nacional, quanto para o mercado como um todo.

Com ela temos uma visão de como as advertências e multas serão aplicadas, bem como seus valores, limites e pontos onde as empresas podem se ajustar.

Vivemos uma exposição extrema em todos os meios. São redes sociais, e-commerce e aplicativos de todos os tipos, além dos riscos cibernéticos e golpes.

Por tudo isso, e com o início das sanções, os empresários precisam ficar atentos e garantir cada vez mais a segurança da informação.

O ponto principal é a ética que precisa estar presente nos processos de todas as empresas. Mas o risco inerente às sanções pode trazer prejuízos que as empresas não teriam, se tiverem os cuidados necessários com as informações coletadas de seus clientes.

Veja também

LGPD: 5 passos para conferir se sua empresa está adaptada
Comprar bem: 4 informações imprescindíveis para fazer a melhor negociação
LGPD – Lei Geral de Proteção de Dados
Home Office: 7 principais problemas que você deve evitar
Cupom fiscal eletrônico: penalidades por não estar adequado
Nota de devolução
Cupom fiscal eletrônico (NFC-e): 3 passos para saber se a empresa tem obrigatoriedade
Como saber se um custo é fixo ou variável ?
5 dicas ANTES de implantar o cupom fiscal eletrônico