O que muda na aplicação de sanções e multas pela ANPD
A ANPD (Autoridade Nacional de Proteção de Dados) atingiu hoje um novo milestone na sua atuação, com a publicação do Regulamento de Dosimetria e de Aplicação de Sanções Administrativas, que estabelece parâmetros e critérios para a aplicação das multas e demais sanções administrativas pela ANPD, para os casos de descumprimento das obrigações previstas na LGPD (Lei Geral de Proteção de Dados).
A partir da publicação do Regulamento, a ANPD certamente adotará uma postura mais contundente e atuante, rumo à determinação de sanções e penalidades para infrações de privacidade e proteção de dados, a exemplo do que já ocorre mundo afora, especialmente considerando-se as Autoridades Nacionais europeias.
O Regulamento traz alguns conceitos importantes, como por exemplo, de que a ANDP, ao determinar as medidas corretivas e as punições aplicáveis à infração, considere não somente o caso concreto, como também o ramo de atividade empresarial do infrator.
Portanto, as políticas de boas práticas e de governança (incluindo o programa de governança em privacidade) adotadas num mesmo segmento de indústria, serviços ou setor, também servirão como benchmark para a ANPD quantificar e determinar multas e demais sanções administrativas, que podem incluir publicização da infração, bloqueio e eliminação dos dados pessoais ou mesmo a suspensão ou proibição das atividades.
Além das práticas do setor, a ANPD também trará um olhar individualizado para a infração cometida e o agente envolvido, e considerará, além da gravidade do dano em si, o faturamento do infrator no exercício anterior à aplicação da penalidade.
O Regulamento também traz conceitos de “reincidência específica” ou “reincidência genérica” de infrações, como agravantes da penalidade, e estabelece a janela de 5 anos para o caso de ser constatada essa reincidência, o que certamente é um período bastante extenso num contexto de dinamismo das relações.
Por outro lado, foram previstas no Regulamento algumas circunstâncias atenuantes que podem ensejar “descontos progressivos” no valor da multa, conforme o momento em que ocorrerem, como por exemplo:
• situações em que cessar a infração;
• se o infrator implementou ou não política de boas práticas e de governança ou se adotou reiteradamente procedimentos internos voltados ao tratamento seguro e adequado de dados, capazes de minimizar os danos aos titulares;
• adoção de medidas capazes de reverter ou mitigar os efeitos da infração sobre os titulares de dados pessoais afetados;
• caso a ANPD constate a cooperação ou boa-fé por parte do infrator.
O Regulamento manteve o limite total de multa no valor de R$ 50milhões por infração, cuja determinação considerará, também, o tempo entre a incidência de multa, o cumprimento da obrigação, a extensão do dano e o prejuízo causado.
Daí, a necessidade de que as boas práticas de ESG sejam não somente perenes e efetivas, como também aderentes às práticas e políticas voltadas à privacidade e proteção de dados, e orientem a adoção de mecanismos efetivos de proteção e segurança que acompanhem o estado da arte no setor considerado.
*Esther Jerussalmy Cunha Sócia de L.O. Baptista Advogados