LGPD: ANPD define Regulamento de Dosimetria e Aplicação de Sanções Administrativas

A norma atualizada pela agência (ANPD) define os critérios e parâmetros para aplicação de sanções com base na Lei Geral de Proteção de Dados e é o pontapé necessário para a LGPD efetivamente começar a valer.
Privacidade e Proteção de Dados

Alguém aí falou em multas por violação da LGPD?

No dia 27/02/2023, a Autoridade Nacional de Proteção de Dados (ANPD), publicou o Regulamento de Dosimetria e Aplicação de Sanções Administrativas, que regulamenta a aplicação dos artigos 52 e 53 da LGPD.

A norma, portanto, define os critérios e parâmetros para aplicação de sanções, sendo elas: advertência, multa simples (de até R$ 50.000.000,00), multa diária, publicização da infração, bloqueio ou eliminação do banco de dados afetado, suspensão da atividade de tratamento de dados, e proibição total ou parcial do exercício da atividade relacionada ao tratamento de dados (art. 52 da LGPD).

A definição da dosimetria é um grande marco na implementação da LGPD

Essa regulamentação representa um grande marco para a privacidade no Brasil uma vez que alavanca a LGPD a um patamar de “efetividade plena”. Em muitas situações, empresas, frente à necessidade de gerenciar seus riscos e investimentos, acabam por agir de forma mais reativa às leis e regulamentações em geral. Com a LGPD, não é diferente. E a Lei Geral de Proteção de Dados efetivamente demorou a engrenar…

Acredita-se que agora, com a aplicação das sanções, que empresas revisarão seus riscos operacionais (e oportunidades), iniciando (ou retomando) os seus programas de Privacidade e Proteção de Dados. O cenário é de oportunidade para todas as empresas independente de tamanho. Conforme pesquisas recentes, apenas 80% das empresas nacionais estão adequadas à Lei Geral de Proteção de Dados. Ou seja, temos bastante espaço para evolução.

A LGPD, não deve – jamais – ser vista apenas como um instrumento de coerção. Ou “mais uma lei que o empresariado deve atender”. Ou uma “burocracia”. Na verdade, a LGPD é uma oportunidade para:

    • Mapear processos e, inclusive, realizar melhorias. Identificar duplicidades em atividades internas;
    • Revisar e consolidar fornecedores de serviço, mantendo àqueles que estejam comprometidos com Privacidade e Proteção de Dados;
    • Obter uma visão 360o de seus dados e sistemas;
    • Revisar políticas de TI e de Segurança da Informação e implementar melhorias;
    • Revisar serviços, equipamentos e softwares disponibilizados às equipes com atenção especial à segurança de informação;
    • Atualizar e aplicar treinamentos internos aos colaboradores, prevenindo incidentes/vazamentos involuntários (uma das maiores causas de vazamento de dados);
    • Considerar a digitalização de processos e melhorias em customer experience.

Interessante já destacar que, conforme divulgado pela revista Valor, possivelmente haverá o julgamento de 8 processos administrativos ainda neste primeiro semestre, sendo que a maioria envolve o setor público federal e vazamento de dados. Há uma expectativa de que os principais alvos de investigações e multas sejam plataformas digitais (mídias sociais e comércio eletrônico), o setor de telecomunicações e, como acima mencionado, o setor público.

Veja também: Há exceções para a aplicação da LGPD para Startups!

Como visto no parágrafo anterior, a ANPD está focando suas ações para plataformas digitais. E, você, como empreendedor, pode estar com a seguinte preocupação: “Sou empreendedor de uma Startup e minha plataforma é toda Digital. Preciso me adequar?”

Ainda em 2022, a ANPD publicou a Resolução CD/ANPD nº. 2 flexibilizando algumas regras da LGPD para Agentes de Pequeno Porte. A resolução engloba Microempresas, Empresas de pequeno porte e – Startups, àquelas organizações que atendam aos critérios do Artigo 4 da Lei Complementar 182/21, tendo no máximo 10 anos de inscrição no CNPJ, limites de R$ 16.000.000,00 de faturamento no ano-calendário anterior (ou fracionado, ver a respectiva lei e seus critérios), estar inscrito no Inova Simples ou possuir em seu contrato social referências à utilização de modelos de negócios inovadores para a geração de produtos ou serviços.

Leia mais em nosso artigo sobre a necessidade de adequação para ME, EPP e Startups: LGPD: Como saber se sou um agente de tratamento de pequeno porte?

Mas não se esqueça! Se você opera globalmente, especialmente atendendo à clientes Europeus, a GDPR é uma realidade para seu negócio e adequações são necessárias!

Desenvolvendo programas de privacidade e proteção de dados para a LGPD

O que fica claro, e é sempre oportuno relembrar, é que o investimento em um programa de adequação à LGPD e às demais normas referentes à segurança da informação, além de proteger os processos internos e minimizar riscos de sanções, aumenta o “valor” de negócios e a confiança dos consumidores / empresas parceiras. Preocupação notada é relativa aos custos necessários para começar um programa de privacidade eficaz e o desafio de se conciliar os respectivos investimentos com as dificuldades financeiras e econômicas que o país vem enfrentando. Entretanto, a definição de ações e um projeto de LGPD ou, um programa de privacidade não precisa começar com ações super-complexas ou com custos proibitivos. Existem diferentes modelos de apoio para essa fase de “organização e adequação”, com valores variados e bem acessíveis. Como exemplos, citam-se:
    • Contratar os serviços de DPO-as-a-Service: Onde uma pessoa ou um grupo de profissionais para representar a figura do Encarregado pela Proteção de Dados / DPO, por “pacote de horas” – Aqui na Macher Tecnologia, oferecemos o serviço multidisciplinar, com alocação múltipla de profissionais, customizada conforme necessidade do cliente;
       
    • Contratar consultorias para avaliar o grau de maturidade da sua empresa através do mapeamento de processos sistemas e dados, elaborando um plano de mitigação de riscos ao final do processo;
       
    • Contratar consultorias para implementar e gerir o plano de mitigação de riscos, bem como tratar de temas de Governança de TI e Dados;
       
    • Contratar cursos e treinamentos específicos para o seu negócio;
       
    • Caso já possua um DPO interno, contratar consultorias para orientar e acompanhar às atividades do DPO e suportá-lo(a) nas mais diferentes atividades, oferecendo revisões, assessments, auditorias, consultoria, entre outros (o que chamamos de Operação Assistida);
       
    • Contratar um software de gestão da privacidade/assets/processos/sistemas como, por exemplo, o DPO Helper; entre outros.
Prevenir é melhor (e mais econômico) do que remediar.

Suportamos sua empresa na jornada de conformidade!

Conheça toda nossa linha de atuação consultiva na Lei Geral de Proteção de Dados.

CONSULTORIA, TREINAMENTOS E PROJETOS DE ADEQUAÇÃO PARA A LGPD

DPO AS A SERVICE