Nesta semana, a ANPD publicou a Resolução nº 4, que estabelece critérios sobre como será calculada a multa e demais sanções administrativas por violação da Lei nº 13.709/2018 (LGPD) — a chamada dosimetria. O Coordenador-Geral de Fiscalização, Fabricio Lopes, também destacou que já foi iniciada a fiscalização, que “vai concentrar seus esforços nos maiores agentes de tratamento de dados, mesmo que a empresa não tenha porte grande, mas que lide com alto volume de dados, como uma startup”. Algumas questões de especialistas sobre a Resolução nº 4 também foram debatidas na live da ANPD, realizado ontem (01/03). Advogados entendem que alguns conceitos da norma, que podem elevar o valor da multa, ficaram subjetivos, dando margem à interpretação, o que deve levar à judicialização.
O evento abordou os conceitos de “volume” de dados ou dados em “larga escala” para a determinação da sanção, por exemplo. Segundo o coordenador-geral de normatização da ANPD, Rodrigo Santana, não foi delimitado um número ou um percentual exato para caracterizar esses conceitos porque, em razão da dimensão e diversidade no país, isso poderá variar. Na prática, terão que analisar caso a caso para determinar se houve ou não um vazamento de dados em larga escala. Contudo, Santana acrescentou que uma futura minuta buscará esclarecer mais conceitos da norma para que ela fique o mais objetiva possível.
Em relação ao conceito de “faturamento”, que definirá o valor-base da multa, Santana explicou que, em caso de a empresa ter mais de uma atividade econômica e a infração envolver mais de uma atividade econômica da mesma companhia, “vai se abarcar todo o faturamento da empresa” para o cálculo da sanção.
Quanto ao conceito de “dano relevante” da própria LGPD, que não teria sido detalhado na resolução, os especialistas repetiram o que diz o artigo 48 da lei: trata-se do dano decorrente de incidente de segurança que acarrete risco ou dano aos titulares dos dados.
Por outro lado, os especialistas da ANPD apresentaram exemplos concretos do que seria a violação de direitos e garantias fundamentais. Disseram que pode ser o caso da exposição de dados que viole o direito à vida, por exemplo, ao trazer risco de vida para o titular dos dados. Ou viole o sigilo bancário, levando à fraude. Ou, ainda, que resulte em recriminação de conduta do titular pela sociedade, o que seria uma espécie de dano moral. Na live, os coordenadores da ANPD lembraram também que empresas, ONGs ou órgãos públicos poderão ser fiscalizados “de ofício”, ou seja, sem que tenha ocorrido uma provocação.