Em 24 de fevereiro de 2023 a Autoridade Nacional de Proteção de Dados (ANPD) publicou a resolução CD/ANPD nº 4, que tem como objetivo estabelecer parâmetros e critérios para aplicação de sanções administrativas, incluindo formas e dosimetrias para o cálculo do valor-base das sanções administrativas previstas no artigo 52 da LGPD (Lei Geral de Proteção de Dados).
As regras previstas na Resolução nº 4 foram definidas pelo diretor Arthur Sabbat e aprovadas por unanimidade pelo conselho-diretor da ANPD após um longo processo que incluiu apreciação de sugestões dos setores relevantes e audiências públicas para que a sociedade fosse ouvida.
Em vigor desde setembro de 2020, a LGPD segue a linha de legislações internacionais como a GDPR europeia que visam proteger a privacidade dos dados pessoais em território nacional, estabelecendo obrigações para empresas em relação à coleta, tratamento, armazenamento e compartilhamento de dados pessoais.
No entanto, as sanções previstas na lei não possuíam critérios definidos para sua aplicação, situação que muda com a publicação da norma de dosimetria, último passo para responsabilização de infratores.
Ao publicar a resolução nº 4/2023, a ANPD definiu critérios para tornar a aplicação da LGPD uniforme, com o intuito de garantir a segurança jurídica, considerando a gravidade e natureza da infração, vantagem auferida, número de pessoas afetadas, medidas técnicas adotadas para reduzir danos, reincidência, porte da empresa infratora e faturamento no ano anterior à infração, dentre outros parâmetros, estabelecendo alíquotas de acordo com o grau de infração.
Os principais tipos de sanções, que podem ser aplicados concomitantemente, são a advertência, multa diária com limite total de cinquenta milhões de reais, publicização da infração, bloqueio e eliminação dos dados pessoais objeto da violação e suspensão temporária ou definitiva do exercício da atividade de tratamento de dados pessoais e proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados, ressaltando-se que as multas simples podem chegar a 2% do faturamento da empresa, limitado a cinquenta milhões de reais por infração.
A resolução estabelece ainda agravantes e atenuantes das multas aplicáveis após processo administrativo resguardando o direito à ampla defesa e contraditório das partes, nos termos do artigo 52, parágrafo 1º da LGPD.
Com a publicação da norma, é necessário reforçar que as empresas que atuam com coleta, tratamento, armazenamento e compartilhamento de dados pessoais no território nacional precisam adotar urgentemente medidas de segurança técnica, operacional e jurídica para estarem de acordo com as obrigações previstas na LGPD, garantindo o necessário compliance com a legislação vigente.
Renata Pereira Grandmasson Chaves
Advogada - Direito Societário e Propriedade Intelectual
Pós Graduanda em Direito Tributário
Pós Graduada em Direito Empresarial
Bacharel em Direito pela Faculdade Nacional de Direito (UFRJ)
