Diretor-presidente da Autoridade Nacional de Proteção de Dados (ANPD), Waldemar Gonçalves Ortunho Júnior, afirma que já poderão ser aplicadas punições, ainda nesse semestre, àqueles que descumprirem as normas da LGPD. A ANPD havia submetido à consulta pública, em 2022, a minuta do Regulamento de Dosimetria e Aplicação de Sanções Administrativas. Após feitas sugestões de melhorias e correções, a Autoridade está agora aperfeiçoando o texto, o que deve ser concluído até o fim de fevereiro. Publicado o Regulamento, já haverá possibilidade da Autoridade aplicar multas, conforme informou o diretor-presidente em entrevista para o JOTA no último dia 6.
O Regulamento de Dosimetria vem para estabelecer parâmetros objetivos para a aplicação de sanções administrativas. Com isso, confere-se maior transparência, previsibilidade e segurança jurídica para os agentes de tratamento, visando um processo sancionador que não aplica e cobra multas como um fim em si mesmo, mas como uma forma de garantir a conformidade dos agentes com a legislação, adotando medidas adequadas e proporcionais aos riscos identificados.
Evidencia-se, portanto, a intenção do regulamento de adotar apenas sanções proporcionais à gravidade da conduta infratora, privilegiando-se as medidas de orientação e prevenção. É possível, ainda, o estabelecimento de incentivos ao agente que atua de boa-fé e em conformidade com a lei.
É cada vez mais imprescindível que as empresas adotem procedimentos internos de segurança e medidas eficazes de governança em proteção de dados. Além de, evidentemente, evitarem a ocorrência de incidentes de segurança, a existência destes elementos será considerada no momento da dosimetria da multa, no caso de um vazamento de dados. Caso se observe que, de fato, existia esta preocupação, a ANPD deverá levar em conta tais medidas no momento de aplicação da sanção. É o que prevê o art. 52, §1° da Lei Geral de Proteção de Dados.
É necessário, entretanto, que esses procedimentos de segurança e medidas de boas práticas sejam de fato aplicados no dia-a-dia da organização, não podendo estar presentes apenas no papel. As boas práticas e a governança em proteção de dados, previstas no artigo 50 da lei, aliadas ao “Princípio da responsabilização e da prestação de contas'”, previsto no art. 6°, X, da LGPD, visam justamente garantir essa accountability das organizações. As políticas de segurança estabelecidas devem ser eficazes em cumprir com a norma de proteção de dados, atualizando-se constantemente o programa de privacidade, com base em informações obtidas a partir de monitoramento contínuo e avaliações periódicas.
