A Autoridade Nacional de Proteção de Dados (ANPD) é o órgão responsável pela fiscalização do cumprimento da LGPD e pela aplicação de sanções administrativas aos infratores. O regime sancionatório da lei, regulamentado pela Resolução CD/ANPD nº 4/2023, estabelece um sistema gradual que vai da advertência até a proibição do tratamento de dados.
Tipos de Sanções
O artigo 52 da LGPD prevê as seguintes sanções administrativas: advertência, com indicação de prazo para adoção de medidas corretivas; multa simples de até dois por cento do faturamento da pessoa jurídica, limitada a cinquenta milhões de reais por infração; multa diária, observado o mesmo limite; publicização da infração; bloqueio dos dados pessoais; eliminação dos dados pessoais; suspensão parcial do funcionamento do banco de dados; suspensão do exercício da atividade de tratamento; e proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
Critérios de Dosimetria
A ANPD regulamentou os critérios para aplicação e dosimetria das sanções, considerando diversos fatores: a gravidade e a natureza das infrações; a boa-fé do infrator; a vantagem auferida ou pretendida; a condição econômica do infrator; a reincidência; o grau de dano; a cooperação do infrator; a adoção de mecanismos e procedimentos internos de proteção de dados; a adoção de política de boas práticas e governança; a pronta adoção de medidas corretivas; e a proporcionalidade entre a gravidade da falta e a intensidade da sanção.
Procedimento Administrativo
O processo administrativo sancionador da ANPD segue as garantias do devido processo legal, incluindo ampla defesa e contraditório. O procedimento se inicia com a instauração do processo pela Coordenação-Geral de Fiscalização, seguida da notificação do autuado, apresentação de defesa, instrução processual, relatório e decisão.
A ANPD pode realizar atividades de monitoramento, orientação e prevenção antes de recorrer à via sancionatória. Auditorias e inspeções podem ser realizadas para verificar a conformidade das operações de tratamento de dados.
Primeiros Precedentes
Os primeiros processos sancionadores da ANPD têm demonstrado uma abordagem que valoriza a cooperação e a adoção de medidas corretivas. As decisões iniciais servem como importante orientação interpretativa para o mercado, sinalizando as prioridades e a intensidade da atuação fiscalizatória da autoridade.
Impacto Reputacional
Além das sanções administrativas, o descumprimento da LGPD pode gerar consequências judiciais, incluindo ações coletivas e individuais de reparação de danos. O impacto reputacional de uma sanção pública, especialmente a publicização da infração, pode ser mais significativo do que a multa financeira, particularmente para organizações que dependem da confiança de seus clientes e usuários.
A prevenção continua sendo a melhor estratégia: investir em programas de conformidade robustos é significativamente menos custoso do que enfrentar as consequências de uma infração.
Alessandro Casoretti Lavorante
Prof. Me. pela USP
Advogado especializado em Direito Digital, IA e Startups. Mestre em Direito Civil pela USP. Autor do livro "Responsabilidade Civil por Inteligência Artificial".