LGPD: Regulamentado processo de fiscalização e aplicação de multas pela ANPD – Autoridade Nacional de Proteção de Dados

LGPD Regulamentado processo de fiscalização e aplicação de multas pela ANPD Autoridade Nacional de Proteção de Dados

Resolução CD/ANPD nº 1, de 28 de outubro de 2021

 

O Conselho Diretor da Autoridade Nacional de Proteção de Dados (“ANPD”) aprovou, no dia 28 de outubro de 2021, o “Regulamento do Processo de Fiscalização e do Processo Administrativo Sancionador no âmbito da ANPD”, que detalha os procedimentos necessários para a aplicação de multas e sanções administrativas, àqueles que infringirem às normas previstas na Lei Geral de Proteção de Dados (LGPD), que incluem: advertência, multa simples, multas diárias e até a proibição total do exercício das atividades relacionadas ao tratamento de dados pessoais.

O Regulamento possui 71 artigos e trata dos deveres dos agentes regulados e de disposições processuais, além de dispor sobre o processo de fiscalização que compreende as atividades de monitoramento, orientação e atuação preventiva, dentre outros temas. 

Referida regulamentação da ANPD ainda estabelece obrigações que as empresas devem cumprir, tais como: (i) estarem preparadas para o fornecimento de informações que permitam avaliar as atividades de tratamento de dados pessoais realizadas; (ii) permitir o acesso às instalações, equipamentos e sistemas; (iii) informar sobre o inventário de TI e demais sistemas utilizados para os tratamentos de dados; (iv) submeter-se a auditorias; (v) comprovar a manutenção de informações durante os prazos legais e (vi) disponibilizar um representante apto a apoiar a atividade de fiscalização, com conhecimento e autonomia para prestar todas as informações pertinentes. O rol, portanto, é exemplificativo e não taxativo.

Cabe, ainda, ao agente solicitar à ANPD o sigilo de informações relativas à sua atividade empresarial, como dados e informações técnicas, econômico-financeiras, contábeis, operacionais, cuja divulgação possa representar violação a segredo comercial ou industrial.

Além dos agentes regulados, o Regulamento é aplicável aos titulares de dados (pessoas naturais ou jurídicas); aqueles que têm direitos ou interesses em eventual decisão da ANPD; organizações e associações representativas (no tocante a direitos e interesses coletivos); pessoas ou associações legalmente constituídas, incluindo as instituições acadêmicas (no tocante a direitos e interesses difusos), conforme previsto no artigo 13 do Regulamento. 

Cumpre destacar que a atividade fiscalizatória da ANPD tem por objetivo orientar, prevenir e reprimir as infrações à LGPD e, conforme o artigo 16 do Regulamento, poderá ser:

I – de ofício;

II – em decorrência de programas periódicos de fiscalização;

III – de forma coordenada com órgãos e entidades públicos; ou

IV – em cooperação com autoridades de proteção de dados pessoais de outros países, de natureza internacional ou transnacional.

Com relação a atividade de monitoramento, deverá ser elaborado, anualmente, o Relatório de Ciclo de Monitoramento, que corresponde a um “instrumento de avaliação, prestação de contas e planejamento da atividade de fiscalização da ANPD”. O primeiro Ciclo de Monitoramento terá início em janeiro de 2022. Deverá ser implementado, ainda, o Mapa de Temas Prioritários, que será bianual e “estabelecerá os temas prioritários que serão considerados pela Autoridade para fins de estudo e planejamento da atividade de fiscalização no período”.

Cumpre destacar que o relatório de análise de ciclo de monitoramento orientará a estratégia de atuação preventiva e repressiva e as medidas a serem adotadas, inclusive ao longo do ciclo seguinte. Já o mapa de temas prioritários consolidará os assuntos que serão considerados pela ANPD para fins de estudo e planejamento da atividade de fiscalização em determinado período.

 

LGPD Regulamentado processo de fiscalização e aplicação de multas pela ANPD Autoridade Nacional de Proteção de Dados

 

Com relação à atividade repressiva, o artigo 37 do Regulamento prevê que “o processo administrativo sancionador se destina à apuração de infrações à legislação de proteção de dados de competência da ANPD” e poderá ser instaurado, sem possibilidade de recurso, (i) de ofício; (ii) em decorrência de processo de monitoramento; e (iii) diante de requerimento em que a Coordenação-Geral de Fiscalização deliberar pela abertura imediata de processo sancionador.

O procedimento administrativo definido na Resolução 1/2021 será composto de quatro fases: (i) a instauração, de ofício ou provocada (por denúncia, inclusive anônima); (ii) a instrução, na qual o autuado apresentará sua defesa e provas para embasar seus argumentos em até 10 (dez) dias úteis; (iii) a decisão; e (iv) recurso ao Conselho Diretor da ANPD, no prazo de 10 (dez) dias úteis, com efeito suspensivo, limitado ao dispositivo da decisão devolvido via recursal, que possibilitará o juízo de reconsideração. 

No entanto, quando os indícios da prática de infração não forem suficientes para a instauração imediata de processo administrativo sancionador, a Coordenação-Geral poderá efetuar averiguações preliminares, que poderão tramitar em sigilo e, ao final, serem arquivadas ou darem origem ao processo administrativo. 

Vale destacar que a empresa autuada poderá apresentar Termo de Ajuste de Conduta (TAC) à ANPD que, uma vez aprovado, suspenderá o andamento do processo administrativo sancionador, podendo até mesmo arquivá-lo após o cumprimento integral das obrigações acordadas no documento.

O acusado terá direito ao contraditório e ampla defesa, bem como chance de recorrer das decisões, e, mesmo em caso de condenação final, com trânsito em julgado, é importante ressaltar que os processos administrativos “poderão ser revistos, a qualquer tempo, a pedido ou de ofício, quando surgirem fatos novos ou circunstâncias relevantes suscetíveis de justificar a inadequação da sanção aplicada”.

Com relação aos prazos e atos administrativos, um aspecto de destaque do Regulamento consiste na contagem dos prazos relativos aos atos do processo administrativo de competência exclusiva da ANPD. O artigo 8º do normativo prevê que “os prazos começam a correr a partir da ciência oficial e são contados em dias úteis, excluído o dia do começo e incluído o dia de vencimento”. 

Ainda, conforme o Regulamento, “os atos administrativos serão realizados, preferencialmente, por meio eletrônico. Como exceção, a ANPD “poderá expedir comunicação por suporte físico, ou por qualquer outro recurso que assegure a certeza da ciência do interessado”.

Com relação a orientação e a prevenção, cumpre destacar que caberá à Autoridade Nacional de Proteção de Dados promover medidas para a criação de uma conscientização geral do tema de proteção de dados que visa atingir os agentes de tratamento, os titulares de dados pessoais e os demais integrantes ou interessados no tratamento de dados pessoais.

Além do Regulamento de Fiscalização e Aplicação de Sanções Administrativas, a ANPD ainda submeterá à consulta pública norma específica para discutir as formas e as dosimetrias para o cálculo do valor-base das sanções de multa, com o objetivo de regulamentar todos os seus elementos.

Portanto, a tendência que estamos observando é a de que a ANPD valorizará as empresas que vem implementando os seus programas de governança e de proteção de dados, especialmente no momento de definir as sanções a serem aplicadas no caso de infração das normas de proteção de dados. Cumpre destacar ainda, que a ANPD, especialmente nesse momento inicial de estruturação do órgão, tem valorizado o caráter pedagógico da norma para incentivar e orientar as empresas a fomentarem em suas organizações a cultura de proteção de dados pessoais. 

Advogada autora do comentário: Natália Pimenta Brito de Lima

Fonte: RESOLUÇÃO CD/ANPD Nº 1, DE 28 DE OUTUBRO DE 2021

Se quiser saber mais sobre este tema, contate o autor ou o Dr. Cesar Peduti Filho.

If you want to learn more about this topic, contact the author or the managing partner, Dr. Cesar Peduti Filho.

LGPD e multas: como funciona?

multa sendo apurada pelo tribunal

A Lei Geral de Proteção de Dados Pessoais, LGPD, regulamentou importantes questões em relação à privacidade de dados pessoais, mas a dúvida que muitos estão tendo é qual o critério da lei para advertências e multas.

Então, preparamos um material explicando as penalizações no caso de descumprimento da LGPD e a partir de quando poderão ser aplicadas.

LGPD e multas

A LGPD prevê advertência, multa simples e multa diária, dependendo da infração cometida. Quando apenas enquadradas na primeira situação as empresas têm prazo indicado para fazer a correção do desajuste.

A multa simples é de até 2% do faturamento, excluídos os tributos, limitada a 50 milhões de reais por infração.

Além disso, pode haver bloqueio ou exclusão dos dados até que se regularize a situação, sendo que a empresa pode ainda ter funcionamento do banco de dados parcialmente suspenso por até 6 meses.

A multa diária tem valor calculado de acordo com a observação da gravidade da infração e a extensão do dano. Nesse cálculo, a autoridade nacional pode considerar o faturamento total da empresa. 

A publicização da infração também pode acontecer quando confirmada sua ocorrência. Isso pode impactar o negócio e sua imagem e credibilidade.

Além da importância de estar de acordo com a lei, as medidas de adequação e reforço da segurança são uma forma de mostrar respeito ao tratamento de dados dos seus clientes e demais públicos com os quais sua empresa se relaciona e idoneidade.

Para evitar problemas com a autoridade nacional, a empresa deverá apresentar a ela relatório de impacto à proteção de dados pessoais (RIPD) quando solicitado. Sendo essencial também, aplicar as boas práticas de segurança e privacidade em todas as suas áreas.

 

multa sendo apurada pelo tribunal

 

Aplicação das multas

Para aplicação das sanções, é realizado procedimento administrativo em que se garante ampla defesa.

A fiscalização do cumprimento da LGPD fica a cargo da Autoridade Nacional de Proteção de Dados (ANPD). Ela pode emitir recomendações, opiniões técnicas e exigir relatórios por parte das empresas.

No momento as organizações estão em adequação à nova lei e as sanções começarão a partir de 1º de agosto de 2021.

Porém, a empresa deve buscar estar em conformidade o quanto antes com as normas vigentes, principalmente para não perder esse prazo, sob o risco de multas e sanções. 

É importante que os controladores e operadores responsáveis pelo tratamento dos dados instituírem regras e boas práticas de governança segundo a LGPD dentro de suas empresas. Assim como, padrões técnicos, obrigações para os envolvidos e ações educativas.

Tudo isso com o objetivo de diminuir os riscos relacionados ao gerenciamento de informações.

Quer se informar com mais conteúdos? Acesse nosso blog.

Se quiser saber mais sobre este tema, contate o autor ou o Dr. Cesar Peduti Filho.

If you want to learn more about this topic, contact the author or the managing partner, Dr. Cesar Peduti Filho.