A Autoridade Nacional de Proteção de Dados (ANPD) publicou a Resolução n° 4, de 27 de fevereiro de 2023 que regulamenta a dosimetria, ou seja, a dose das sanções administrativas por descumprimento à Lei Geral de Proteção de Dados (LGPD) .

A resolução traz multas pesadas que podem chegar a até R$ 50 milhões por infração.

Mas o que mais me chamou a atenção foi o conceito de reincidência.

A Resolução n° 4/2023 da ANPD em seu artigo 2°, incisos, VIII e IX, dispõem:

VIII – Reincidência específica: repetição de infração pelo mesmo infrator ao mesmo dispositivo legal ou regulamentar, no período de 5 (cinco) anos, contado do trânsito em julgado do processo administrativo sancionador, até a data do cometimento da nova infração;

IX – Reincidência genérica: cometimento de infração pelo mesmo infrator, independentemente do dispositivo legal ou regulamentar, no período de 5 (cinco) anos, contado do trânsito em julgado do processo administrativo sancionador até a data do cometimento da nova infração, excluído o disposto no inciso VIII do caput.

Se a empresa tiver incidentes de segurança com dados pessoais no período de cinco anos, conforme acima, terá a sanção aumentada. Isso aumenta demais os riscos.

Hoje existem, dentro da ANPD, mais de 7 mil denúncias contra empresas por violação à LGPD, dessas, 360 já estão no ponto de sofrerem sanções.

De uma autoridade pró conscientização se transformou numa autoridade pró aplicação de multas.

Veja o que pode atenuar a aplicação das sanções:

Art. 13. O valor da multa simples será reduzido, nos percentuais abaixo, caso incidam as seguintes circunstâncias atenuantes:

I – Nos casos de cessação da infração:

1. a) 75% (setenta e cinco por cento), se previamente à instauração de procedimento preparatório pela ANPD;
2. b) 50% (cinquenta por cento), se após a instauração de procedimento preparatório e até a instauração de processo administrativo sancionador; ou
3. c) 30% (trinta por cento), se após a instauração de processo administrativo sancionador e até a prolação da decisão de primeira instância no âmbito do processo administrativo sancionador;

II – 20% (vinte por cento), nos casos de implementação de política de boas práticas e de governança ou de adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar os danos aos titulares, voltados ao tratamento seguro e adequado de dados, até a prolação da decisão de primeira instância no âmbito do processo administrativo sancionador;

III – Nos casos em que o infrator tenha comprovado a implementação de medidas capazes de reverter ou mitigar os efeitos da infração sobre os titulares de dados pessoais afetados:

1. a) 20% (vinte por cento), previamente à instauração de procedimento preparatório ou processo administrativo sancionador pela ANPD; ou
2. b) 10% (dez por cento), se após a instauração de procedimento preparatório e até a instauração de processo administrativo sancionador; e

IV – 5% (cinco por cento), nos casos em que se verifique a cooperação ou boa-fé por parte do infrator.

Analisando o artigo 13, vemos que não há como atenuar eventual aplicação de sanção sem adequação completa da empresa à Lei Geral de Proteção de Dados.

Lembrando que adequação não é uma política de privacidade de fachada e muito menos um banner de consentimento.

Para entender mais sobre os motivos para não escolher o consentimento, já escrevi um artigo sobre isso e para ler acesse aqui.

Aliás o consentimento é a pior das hipóteses de tratamento para dados pessoais que a empresa pode escolher, verifique as melhores no artigo 7° quando os dados forem comuns, no artigo 11, em caso de dados sensíveis e no artigo 14 em caso de dados de crianças, todos os artigos citados são da LGPD.

Com a publicação da Resolução n° 4/2023 as primeiras multas devem começar a sair, portanto, contador, você pode oferecer mais esse serviço aos seus clientes, a adequação à LGPD.

Para conhecer na íntegra a Resolução n° 4/2023 – ANPD, clique aqui.

Fonte: Contábeis