Hoje, 27.02.2023, foi publicada a Resolução CD/ANPD n° 4, que aprovou o Regulamento de Dosimetria e Aplicação de Sanções Administrativas pela Autoridade Nacional de Proteção de Dados (ANPD), cumprindo a agenda regulatória do Biênio 2023/2024 e iniciando a sua atuação repressiva em relação ao descumprimento da Lei Geral de Proteção de Dados (LGPD).
O objetivo da Agência é definir critérios e parâmetros para a aplicação das sanções pecuniárias e não pecuniárias, e também a dosimetria para o cálculo do valor-base das multas. Com isso, a ANPD visa aprimorar o processo administrativo sancionador além de regulamentar os artigos 52 e 53 da LGPD.
Saiba o que muda
Com base nessa Resolução, a ANPD iniciará a fase de aplicação de multas para as empresas que descumprirem a LGPD, após anos de ações de monitoramento, educativas, e preventivas.
Empresas adequadas à LGPD poderão ter o valor da multa reduzido
As infrações sujeitas às sanções legais serão classificadas nos níveis leve, médio e grave. Dessa forma, as questões como gravidade e natureza das infrações e dos direitos pessoais afetados, boa-fé do infrator, vantagem obtida ou pretendida pelo infrator, grau do dano, entre outras, serão observadas.
Até a decisão de primeira instância no âmbito do processo administrativo sancionador, a ANPD considerará como parâmetro para a diminuição da multa, o fato da empresa autuada demonstrar que implementou políticas de boas práticas e de governança, e/ou adotou reiterada prática de medidas capazes de minimizar os dados aos titulares, caso em que a multa poderá ser reduzida na forma prevista no artigo 13 do citado Regulamento de Dosimetria e Aplicação de Sanções Administrativas.
A necessária adequação da empresa à LGPD
A Lei Geral de Proteção de Dados (Lei Federal 13.709/2008) impõe uma série de obrigações e cautelas no sentido de proteger as informações pessoais de usuários, clientes, e terceiros.
A elaboração de um Programa de Privacidade bem estruturado e verdadeiro, i.e., de fato implementado na empresa, deve levar em consideração ao menos os seguintes processos:
Governança: aderência da empresa a todos os aspectos regulatórios relacionados à governança, bem como o apoio e comprometimento dos gerentes de cada área na promoção e disseminação de uma cultura de privacidade e proteção de dados.
Direitos dos Titulares: obediência irrestrita às exigências relativas à coleta e gestão do consentimento, além da existência e efetividade do fluxo e canal para atendimento aos direitos dos titulares.
Gestão do Ciclo de Vida do Dado: a aderência aos princípios da necessidade, anonimização e minimização, bem como os mecanismos de segurança direcionados às atividades de tratamento de dados pessoais e dados pessoais sensíveis.
Gestão de Terceiros: a aderência das medidas adotadas pela empresa para delimitar os papéis e responsabilidades atribuídos aos Agentes de tratamento (Controlador e Operador).
Medidas de Segurança e Respostas à incidentes: a aderência das medidas de segurança da informação, atinentes aos dados físicos e eletrônicos, e adoção de medidas de identificação, tratamento, mitigação de riscos, reporte e restauração de dados e ambientes, em caso de incidentes de privacidade.
Comments