Em 2021 foi publicada a Resolução CD/ANPD nº 1/2021, que estabeleceu o processo de fiscalização e o processo administrativo sancionador em caso de descumprimento das normas da LGPD (Lei nº 13.709 de 2018), definindo regras e metodologias a serem usadas pelo órgão para monitoramento das atividades de tratamento de dados pessoais e aplicações de sanções e multas.
Porém, a resolução não especificava a forma de aplicação das sanções, nem as hipóteses em que cada uma poderia ser aplicada. Assim, em fevereiro de 2023, foi publicada a Resolução nº 4/2023 , da Autoridade Nacional de Proteção de Dados (ANPD), que aprovou o Regulamento de Dosimetria e Aplicação de Sanções Administrativas.
Tal resolução traz as nove sanções administrativas definidas na LGPD, a natureza de cada infração que pode variar entre leve, média e grave, e apresenta o cálculo para as multas eventualmente aplicadas. Além disso, foram estabelecidas situações agravantes e atenuantes, que podem influenciar na pena.
São sanções passíveis de aplicação: advertência, multa simples, multa diária, publicização da infração, bloqueio dos dados pessoais referentes à infração, eliminação dos dados pessoais, suspensão parcial do funcionamento do banco de dados, suspensão do exercício da atividade de tratamento de dados pessoais e proibição parcial ou total do exercício das atividades relacionadas ao tratamento de dados.
Vale lembrar que as sanções só poderão ser aplicadas após o devido procedimento administrativo, com decisão fundamentada da ANPD. E poderão ser aplicadas de forma cumulativa, conforme a peculiaridade de cada caso.
Ressalte-se que a Resolução trouxe em seu Apêndice I a metodologia de cálculo das multas, bem como quatro circunstâncias agravantes e sete atenuantes, sendo estas as maiores alterações trazidas pela Resolução.
Será considerada média a infração pelo tratamento de dados que impedir ou limitar de forma significativa o exercício de direitos fundamentais dos titulares, bem como quando ocasionar danos materiais ou morais, incluindo discriminação, violação à integridade física, ao direito de imagem e à reputação e fraudes financeiras, desde que não seja classificada como grave.
A infração será considerada grave quando, além de incluir as características acima descritas, envolver: o tratamento de dados pessoais em larga escala; o infrator auferir vantagem econômica; houver risco à vida dos titulares dos dados; a infração incluir dados sensíveis ou de crianças, adolescentes e idosos; o infrator realizar tratamento discriminatório ilícito ou abusivo, e/ou; quando houver obstrução da fiscalização.
Já o nível leve será aplicado quando não estiverem presentes quaisquer dos requisitos que caracterizam a infração como média ou grave.
A publicação da Resolução nº 4/2023, da ANPD, reforça importância da implementação da LGPD nas empresas, independentemente do ramo de atividade, e como elas devem se resguardar diante do tratamento de dados que fazem de seus clientes.