ANPD aprova o Regulamento de Dosimetria e Aplicação de Sanções Administrativas da LGPD
A Autoridade Nacional de Proteção de Dados Brasileira (“ANPD”) publicou em 27 de fevereiro a Resolução CD/ANPD nº 4, de 24 de fevereiro de 2023, que aprovou o tão aguardado Regulamento de Dosimetria e Aplicação de Sanções Administrativas (“Regulamento”). O Regulamento foi aprovado após cerca de seis meses após a realização de consulta pública que recebeu 2504 contribuições da sociedade civil.
O objetivo do Regulamento é estabelecer parâmetros e critérios para aplicação de sanções administrativas pela ANPD, bem como as formas e dosimetrias para o cálculo do valor-base das sanções de multa, instrumentalizando o exercício da competência sancionadora da ANPD, disposto nos artigos 52 e 53, da Lei Geral de Proteção de Dados (“LGPD”) e na Resolução CD/ANPD nº1/2021.
O Regulamento tratou de trazer uma série de definições, destacando-se o conceito de:
- Infração: descumprimento de obrigação estabelecida na Lei nº 13.709, de 14 de agosto de 2018 (LGPD), e nos regulamentos expedidos pela ANPD;
- Infração permanente: conduta infrativa que se prolonga no tempo, mediante ação ou omissão do infrator referente ao mesmo dispositivo normativo;
- Reincidência específica: repetição de infração pelo mesmo infrator ao mesmo dispositivo legal ou regulamentar, no período de 5 (cinco) anos, contado do trânsito em julgado do processo administrativo sancionador, até a data do cometimento da nova infração; e
- Reincidência genérica: cometimento de infração pelo mesmo infrator, independentemente do dispositivo legal ou regulamentar, no período de 5 (cinco) anos, contado do trânsito em julgado do processo administrativo sancionador até a data do cometimento da nova infração.
As sanções administrativas previstas no artigo 52 da LGPD foram regulamentadas da seguinte forma:
- Advertência: poderá ser aplicada quando a infração for leve ou média e não caracterizar reincidência específica; ou houver necessidade de imposição de medidas corretivas.
- Multa simples: poderá ser aplicada quando a infração for leve ou média e não caracterizar reincidência específica; ou houver necessidade de imposição de medidas corretivas.
- Multa diária: poderá ser aplicada quando necessária para assegurar o cumprimento, em prazo certo, de uma sanção não pecuniária ou de uma determinação estabelecida pela ANPD, ou quando o infrator após notificado do cometimento de irregularidades que tenham sido praticadas, deixar de saná-las no prazo assinalado; praticar obstrução à atividade de fiscalização, desde que a aplicação da multa diária seja necessária para desobstrui-la; praticar infração permanente não cessada até a decisão. A multa diária incide a partir do primeiro dia útil de atraso no cumprimento da sanção não pecuniária ou da determinação estabelecida pela ANPD, após a ciência oficial acerca da intimação da decisão que a estipulou, independentemente de nova intimação; ou do dia útil seguinte ao da ciência oficial acerca da intimação da decisão que a estipulou até o cumprimento da obrigação.
- Publicização da infração, após devidamente apurada e confirmada a sua ocorrência: poderá ser aplicada considerando-se a relevância e o interesse público da matéria e consiste na divulgação da infração pelo próprio infrator, após devidamente apurada e confirmada a sua ocorrência.
- Bloqueio dos dados pessoais a que se refere a infração, até a sua regularização: consiste na suspensão temporária de qualquer operação de tratamento com os dados pessoais a que se refere a infração, mediante a sua guarda, até a regularização da conduta pelo infrator.
- Eliminação dos dados pessoais a que se refere a infração: consiste na exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado. O infrator deverá, também, comunicar imediatamente a eliminação dos dados aos agentes de tratamento com os quais tenha realizado uso compartilhado de dados, para que repitam idêntico procedimento, exceto nos casos em que esta comunicação seja comprovadamente impossível ou implique esforço desproporcional, hipóteses que serão avaliadas pela ANPD.
- Suspensão parcial do funcionamento do banco de dados a que se refere a infração: será aplicada pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador, levando em consideração a complexidade para regularização e a classificação da infração. Para a determinação do prazo, a ANPD deverá considerar o interesse público, o impacto aos direitos dos titulares de dados pessoais, a classificação da infração e a complexidade para regularização da atividade de tratamento pelo infrator. Esta sanção só poderá ser aplicada, desde que alguma das outras sanções, excluindo-se a advertência, já tenha sido aplicada para o mesmo caso concreto.
- Suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração: será aplicada pelo período máximo de 6 (seis) meses, prorrogável por igual período.Para a determinação do prazo, a ANPD deverá considerar o interesse público, o impacto aos direitos dos titulares de dados pessoais e a classificação da infração. Esta sanção só poderá ser aplicada, desde que alguma das outras sanções, excluindo-se a advertência, já tenha sido aplicada para o mesmo caso concreto.
- Proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados: consiste no impedimento parcial ou total das operações de tratamento de dados pessoais, e poderá ser aplicada nos casos em que houver reincidência em infração punida com suspensão parcial do funcionamento do banco de dados ou suspensão do exercício da atividade de tratamento dos dados pessoais;ocorrer tratamento de dados pessoais com fins ilícitos, ou sem amparo em hipótese legal; ou o infrator perder ou não atender as condições técnicas e operacionais para manter o adequado tratamento de dados pessoais. Esta sanção só poderá ser aplicada, desde que alguma das outras sanções, excluindo-se a advertência, já tenha sido aplicada para o mesmo caso concreto.
O procedimento administrativo para a aplicação das sanções demandará decisão fundamentada da ANPD, assegurado o direito à ampla defesa, ao contraditório e ao devido processo legal, devendo ser considerados os seguintes critérios: (i.) a gravidade e a natureza das infrações e dos direitos pessoais afetados; (ii.) a boa-fé do infrator; (iii.) a vantagem auferida ou pretendida pelo infrator; (iv.) a condição econômica do infrator; (v.) a reincidência específica; (vi.) a reincidência genérica; (vii.) o grau do dano; (viii.) a cooperação do infrator; (ix.) a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados, em consonância com a LGPD; (x.) a adoção de política de boas práticas e governança; (xi.) a pronta adoção de medidas corretivas; e (xii.) a proporcionalidade entre a gravidade da falta e a intensidade da sanção.
As sanções serão aplicadas de forma gradativa, isolada ou cumulativamente, de acordo com as peculiaridades do caso concreto. Ainda, em caso de pluralidade de infratores, as sanções serão aplicadas de forma individualizada.
O não cumprimento da sanção aplicada ou a ausência de regularização da conduta, no prazo estipulado, ensejará a progressão da atuação da ANPD para a aplicação de sanções mais graves, sem prejuízo da adoção das demais medidas legais cabíveis.
O Regulamento ainda classifica as infrações segundo a gravidade e a natureza como:
- Leve, quando não enquadrada nas demais hipóteses;
- Média, quando puder afetar significativamente interesses e direitos fundamentais dos titulares de dados pessoais, caracterizada nas situações em que a atividade de tratamento puder impedir ou limitar, de maneira significativa, o exercício de direitos ou a utilização de um serviço, assim como ocasionar danos materiais ou morais aos titulares, tais como discriminação; violação à integridade física; ao direito à imagem e à reputação; fraudes financeiras ou uso indevido de identidade, desde que não seja classificada como grave;
- Grave, quando além de incidir nas hipóteses de gravidade média, cumulativamente, a) envolver tratamento de dados pessoais em larga escala; b) o infrator auferir ou pretender auferir vantagem econômica em decorrência da infração cometida; c) a infração implicar risco à vida dos titulares; d) a infração envolver tratamento de dados sensíveis ou de dados pessoais de crianças, de adolescentes ou de idosos; e) o infrator realizar tratamento de dados pessoais sem amparo em uma das hipóteses legais previstas na LGPD; f) o infrator realizar tratamento com efeitos discriminatórios ilícitos ou abusivos; ou g) verificada a adoção sistemática de práticas irregulares pelo infrator. Ou ainda, quando a infração constituir obstrução à atividade de fiscalização.
Para o cálculo do valor das multas, o Regulamento estabeleceu uma metodologia que pode ser acessada por meio do link, e leva em consideração a classificação da infração, o faturamento do infrator no último exercício disponível anterior à aplicação da sanção e o grau do dano.
Caso o infrator comprovadamente não tenha tido faturamento no último exercício anterior à aplicação da sanção, deve-se considerar no valor-base de cálculo da multa simples o valor do último faturamento apurado pelo infrator, excluídos os tributos, atualizado até o último dia do exercício anterior à aplicação da sanção; ou na ausência deste, as faixas de valores absolutos, em reais, conforme disposto no Apêndice I do Regulamento.
Poderão ainda, incidir circunstâncias agravantes sobre o cálculo do valor-base da multa: (i.) para cada caso de reincidência específica (ii.) para cada caso de reincidência genérica; (iii.) para cada medida de orientação ou preventiva descumprida no processo de fiscalização ou do procedimento preparatório que precedeu o processo administrativo sancionador; e (iv.) para cada medida corretiva descumprida.
Por outro lado, o valor-base da multa simples será reduzido, caso incidam as seguintes circunstâncias atenuantes: (i.) cessação da infração, variando a porcentagem de redução de acordo com o momento em que verificada a cessação; (ii.) nos casos de implementação de política de boas práticas e de governança ou de adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar os danos aos titulares, voltados ao tratamento seguro e adequado de dados, até a prolação da decisão de primeira instância no âmbito do processo administrativo sancionador; (iii.) nos casos em que o infrator tenha comprovado a implementação de medidas capazes de reverter ou mitigar os efeitos da infração sobre os titulares de dados pessoais afetados, variando a porcentagem de redução de acordo com o momento em implementadas as medidas; (iv.) nos casos em que se verifique a cooperação ou boa-fé por parte do infrator.
O Regulamento, também, estabeleceu os valores mínimos para aplicação das multas, conforme abaixo, exceto para os casos em que a vantagem auferida ou pretendida pelo infrator seja estimável, aplicando-se, neste caso, o dobro da vantagem econômica decorrente da infração:
Valores mínimos de multa simples para os casos em que o infrator é pessoa natural ou pessoa jurídica sem faturamento
Valores mínimos de multa simples para infratores não enquadrados na tabela acima
O valor máximo das multas segue limitado a 2% do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado de empresas no Brasil no seu último exercício, excluídos os tributos, ou a R$ 50.000.000,00.
No que concerne ao pagamento da sanção de multa, o Regulamento estabelece o prazo de até 20 (vinte) dias úteis, contados a partir da ciência oficial da decisão de aplicação de sanção, concedendo aos agentes de tratamento de pequeno porte, assim definidos pela Resolução CD/ANPD nº 2, de 27 de janeiro de 2022 (https://www.gov.br/anpd/pt-br/documentos-e-publicacoes), prazo em dobro para o pagamento.
Quando não houver pagamento da multa no prazo, o seu valor deve ser acrescido de juros de mora e multa moratória de 0,33% por dia de atraso, até o limite de 20%.
O infrator que renunciar expressamente ao direito de recorrer da decisão de primeira instância, fará jus a um fator de redução de 25% no valor da multa aplicada, caso faça o recolhimento no prazo indicado acima para pagamento.
A ANPD, ainda, poderá afastar a metodologia de dosimetria de sanção de multa ou substituir a aplicação de sanção por outra constante no Regulamento, nos casos em que for constatado prejuízo à proporcionalidade entre a gravidade da infração e a intensidade da sanção, desde que seja feita por meio de decisão motivada e fundamentada, demonstrando a necessidade e a adequação da medida imposta, a desproporcionalidade constatada, o interesse público a ser protegido e os parâmetros adotados na aplicação da sanção, consideradas as consequências práticas da decisão.
Por fim, sobre as medidas preventivas, a Resolução CD/ANPD nº1/2021 foi alterada para estabelecer que, além da divulgação de informações; aviso; solicitação de regularização ou informe; e plano de conformidade, poderão ser adotadas outras medidas, se compatíveis com o disposto nos artigos 30 e 31 da referida resolução. Ou seja, trouxe mais flexibilidade à ANPD, que deixa de ter uma lista taxativa de medidas a seguir. Ainda, revogando as disposições anteriormente existentes sobre o tema, consignou que o não atendimento de medida preventiva enseja a progressão de atuação da ANPD para que, a seu critério, adote outras medidas preventivas ou atue de modo repressivo, com a adoção de medidas compatíveis; e pode ser considerado circunstância agravante em caso de instauração de processo administrativo sancionador.
Considerando a publicação do Regulamento, que já está em vigor, a ANPD já dispõe de todos os balizadores necessários para o início da aplicação de multas e demais sanções previstas. Faz-se, portanto, ainda mais necessário que as empresas estejam adequadas à LGPD, para evitar que lhes sejam imputadas sanções que terão impacto não só financeiro, mas também reputacional. Acesse o novo Regulamento aqui.
Para mais informações, contate nossa área de Proteção de Dados.
-
Notícia
07/02/2023
GDPR – Regulamento Geral sobre a Proteção de Dados da União Europeia: análise de casos sobre a aplicação de sanções administrativas
Nossa advogada Marcela Joelsons é coautora na obra coletiva “GDPR - Regulamento Geral sobre a Proteção de Dados da União Europeia: análise de casos sobre a aplicação de sanções administrativas", que se dedica ao estudo de precedentes europeus nos quais autoridades de proteção de dados aplicaram sanções administrativas por violações ao GDPR.
-
Notícia
27/01/2023
Dia Internacional de Proteção de Dados Pessoais
Em 28 de janeiro é celebrado o Dia Internacional da Proteção de Dados. Essa data foi instituída em 2006 pelo Conselho da Europa, com o intuito de conscientizar os indivíduos sobre a importância da proteção dos dados pessoais, e, ao mesmo tempo, incentivar as empresas a discutirem o tema e adotarem boas práticas envolvendo o tratamento de dados pessoais. O objetivo é, justamente, a criação de uma cultura de proteção de dados em contexto global.
-
Notícia
04/01/2023
Global Data Review 2023
Souto Correa Advogados foi listado entre os melhores escritórios de advocacia do mundo em proteção de dados pelo Global Data Review (GDR) 100 – 2023, ranking do Global Data Review. A publicação é a única que analisa as capacidades, o histórico e a reputação de mercado das empresas líderes no setor, examinando não apenas as competências em privacidade …
