A Autoridade Nacional de Proteção de Dados (ANPD) publicou a Portaria nº 35 de 4 de novembro de 2022 com a Agenda Regulatória para o biênio 2023-2024. A Portaria visa determinar as ações regulatórias da ANPD nos próximos dois anos, sendo desde já estabelecido que temas educativos terão planejamento e execução prioritários. Ela foi dividida em 4 fases semestrais, sendo que cada uma possui alguns temas que terão preferência para estudo ou tratamento. Um destaque fica para a fase 1 que terá como foco dar continuidade aos temas iniciados durante a vigência da Agenda Regulatória para o biênio 2021-2022.
A divulgação da Agenda Regulatória sobre proteção de dados, anunciada pela ANPD, é de extrema importância para empresas nacionais e multinacionais. Ela traz transparência e eficiência ao processo regulatório, ajudando as empresas a se prepararem para cumprir as normas da LGPD.
A advogada Gabriela Araujo, do Departamento Societário da Andersen Ballão Advocacia e especialista em Privacidade e Proteção de Dados, lembra que a Agenda previu 20 ações por parte da ANPD. Das ações já concluídas, ela destaca o Regulamento de Dosimetria e Aplicação de Sanções Administrativas, que estabeleceu critérios para as sanções aplicadas pela Autoridade. A especialista menciona que, em relação aos temas futuros da Agenda Regulatória, se destaca a normativa sobre o Encarregado de Proteção de Dados, que irá definir claramente essa figura e as situações em que pode ser dispensada. Além disso, ela ressalta a regulamentação da transferência internacional de dados, que é de grande importância para as empresas multinacionais, pois irá estabelecer as modalidades de transferência previstas na LGPD. “A regulamentação da transferência internacional de dados, que visa balizar as modalidades de transferência internacional de dados previstas na LGPD, tema de grande importância para as empresas multinacionais também será apresentada”, fala.
A especialista alerta as empresas quanto ao Regulamento da Dosimetria e Aplicação de Sanções Administrativas. “É uma sinalização de enfoque da Autoridade em passar a aplicar as penalidades previstas na LGPD, o que já ocorreu de fato este ano”.
Outro ponto de atenção se refere ao papel do encarregado, figura de destaque para as empresas, uma vez que que o encarregado é o canal de comunicação entre a empresa, os titulares dos dados e a ANPD. Ela alerta que as empresas devem estar atentas aos próximos passos estabelecidos e, se ainda não o fizeram, nomear um encarregado para garantir o cumprimento das obrigações previstas na LGPD. “É importante que as empresas se atentem para que, ocasionalmente, nomeiem um encarregado, caso ainda não o tenham feito”, alerta.
Em fevereiro de 2023, foi publicada a Resolução nº 4/2023 , da Autoridade Nacional de Proteção de Dados (ANPD), que aprovou o Regulamento de Dosimetria e Aplicação de Sanções Administrativas. Tal resolução traz as nove sanções administrativas definidas na LGPD, a natureza de cada infração que pode variar entre leve, média e grave, e apresenta o cálculo para as multas eventualmente aplicadas. Além disso, foram estabelecidas situações agravantes e atenuantes, que podem influenciar na pena.
São sanções passíveis de aplicação: advertência, multa simples, multa diária, publicização da infração, bloqueio dos dados pessoais referentes à infração, eliminação dos dados pessoais, suspensão parcial do funcionamento do banco de dados, suspensão do exercício da atividade de tratamento de dados pessoais e proibição parcial ou total do exercício das atividades relacionadas ao tratamento de dados.
Vale lembrar que as sanções só poderão ser aplicadas após o devido procedimento administrativo, com decisão fundamentada da ANPD. E poderão ser aplicadas de forma cumulativa, conforme a peculiaridade de cada caso.Ressalte-se que a Resolução trouxe em seu Apêndice I a metodologia de cálculo das multas, bem como quatro circunstâncias agravantes e sete atenuantes, sendo estas as maiores alterações trazidas pela Resolução.
Será considerada média a infração pelo tratamento de dados que impedir ou limitar de forma significativa o exercício de direitos fundamentais dos titulares, bem como quando ocasionar danos materiais ou morais, incluindo discriminação, violação à integridade física, ao direito de imagem e à reputação e fraudes financeiras, desde que não seja classificada como grave.
A infração será considerada grave quando, além de incluir as características acima descritas, envolver: o tratamento de dados pessoais em larga escala; o infrator auferir vantagem econômica; houver risco à vida dos titulares dos dados; a infração incluir dados sensíveis ou de crianças, adolescentes e idosos; o infrator realizar tratamento discriminatório ilícito ou abusivo, e/ou; quando houver obstrução da fiscalização.