Opinião

Regulamento de dosimetria e aplicação das sanções da LGPD

Autor

  • Raíssa Roese da Rosa

    é associada no escritório Madruga BTW e especializada em Direito Digital e Proteção de Dados pelo Instituto Brasileiro de Ensino Desenvolvimento e Pesquisa (IDP).

3 de novembro de 2022, 7h08

A Lei Geral de Proteção de Dados (LGPD) entrou em vigor em 18/9/2020, mas as sanções administrativas nela previstas apenas em 1/8/2021. Contudo, até o presente momento, a Autoridade Nacional de Proteção de Dados (ANPD) não concluiu a regulamentação do tema, o que inviabiliza a efetiva aplicação das penas.

De acordo com o artigo 55-K da LGPD, a fiscalização e a aplicação de sanções são atribuições exclusivas da ANPD. Em junho do ano corrente, com a Medida Provisória 1.124, a agência deixa de ser órgão subordinado à Presidência da República, tornando-se uma autarquia de natureza especial com patrimônio próprio, o que representa um avanço sobretudo do ponto de vista da independência na sua atuação.

Em 28.10.2021, a ANPD publicou o regulamento do processo de fiscalização e do processo administrativo sancionador (Resolução CD/ANPD 1/2021) e está em andamento a regulamentação acerca da dosimetria das penas.

A esse respeito, o artigo 53 da LGPD determinou que a ANPD definirá por meio de regulamento  que deverá ser objeto de consulta pública  as metodologias que orientarão o cálculo do valor-base das sanções de multa. Conforme §2º do referido dispositivo, o regulamento deverá prever circunstâncias e condições para aplicar multa simples ou diária.

A ANPD elaborou a proposta do Regulamento de Dosimetria e Aplicação de Sanções Administrativas, a qual foi submetida à consulta pública. Em 02.09.2022, foi realizada audiência pública com vistas a discutir a proposta de Regulamento, sendo que alguns dos principais pontos levantados para o aperfeiçoamento desta serão a seguir expostos.

Segundo o artigo 8º do Regulamento, as infrações se classificam em leve, média ou grave partir da natureza e da gravidade dos direitos pessoais afetados. Um dos pontos reiteradamente destacados foi a necessidade de definição da infração leve, já que o Regulamento a conceitua por exclusão: "§ A infração será considerada leve quando não verificada nenhuma das hipóteses relacionadas nos §§2º ou 3º deste artigo".

Igualmente, foi apontada a necessidade de critérios mais objetivos para conceituação da infração média, caracterizada quando "envolver tratamento de dados pessoais em larga escala" ou "afetar significativamente interesses e direitos fundamentais dos titulares". Nota-se que a conceituação das infrações médias é bastante genérica, qualquer infração relacionada a dados pessoais irá afetar direitos fundamentais, já que o próprio direito à proteção de dados tornou-se recentemente um direito fundamental (Emenda 115/2022).

Outra crítica feita ao Regulamento diz respeito ao artigo 28 [1] que prevê a possibilidade de afastamento da metodologia de dosimetria de sanção de multa e de substituição da aplicação de sanção por outra constante no Regulamento, considerando a proporcionalidade entre a gravidade da infração e intensidade da sanção.

Da forma como está redigida, o Regulamento estipula uma cláusula em branco que permite à autoridade administrativa afastar a metodologia da dosimetria de multa ou substituir a sanção, o que pode ser feito em prejuízo dos administrados. Apesar da obrigatoriedade de a autoridade administrativa fundamentar a decisão, nesse caso, vislumbra-se um risco de a discricionariedade culminar em arbitrariedade.          

Com relação ao pagamento da multa, o artigo 17 do Regulamento reza que "deverá ser paga no prazo de até trinta dias, contados a partir da ciência oficial acerca da intimação da decisão de aplicação de sanção". Importante a definição quanto à forma de contagem desse prazo se em dias úteis ou corridos.

Ademais, sugeriu-se a inclusão no Regulamento da possibilidade de parcelamento do valor da multa, a exemplo do que existe no artigo 916 do Código de Processo Civil ("CPC"), o qual dispõe ser viável o parcelamento do débito, em até seis vezes com juros e correção monetária, no cumprimento de sentença, contanto que seja efetuado o depósito de 30% do valor.

Interessante destacar que, segundo artigo 18 do Regulamento, o infrator que renunciar expressamente ao direito de recorrer da decisão de primeira instância, terá a multa atenuada em 25% desde que proceda ao recolhimento dentro do prazo legal.

Ainda no que diz respeito à atenuação da multa simples, houve críticas ao percentual de 20% atribuído pelo Regulamento no caso de implementação de boas práticas e governança ou adoção de mecanismos para minimização dos danos até a prolação da decisão de primeira instância no processo administrativo sancionador, conforme inciso II do artigo 15.

Argumentou-se que a redução parece pouco significativa. Cabe salientar que o FCPA Corporate Enforcement Policy [2], que serve como Guia à aplicação do Foreign Corrupt Practices Act (FCPA), Lei Americana Anticorrupção, prevê uma redução de até 50% no valor da multa em caso de conduta cooperativa e adoção de mecanismo de governança e remediação.

De outro viés, foi objeto de censura o artigo 12 do Regulamento, o qual estipula que o cálculo da multa simples considera a natureza da infração, o grau do dano e o faturamento da pessoa jurídica de direito privado, "grupo ou conglomerado no Brasil referente ao último exercício anterior disponível ao da aplicação da sanção, excluídos os tributos". A censura se fundamenta no artigo 52, §4º, da LGPD que prevê que o faturamento do grupo econômico somente poderá ser levado em consideração para o cálculo da multa simples diante de situações excepcionais, quais sejam: 1) quando não é possível auferir o faturamento do ramo de atividade em que se deu a infração; 2) quando o valor é incompleto; ou 3) quando não demonstrado de forma inequívoca e idônea.

Por fim, merece atenção a preocupação manifestada na audiência com os casos de proibição total do exercício de atividades relacionadas ao tratamento de dados [3] em virtude da ausência de parâmetro para extensão da medida. Isso porque o funcionamento de qualquer empresa depende do tratamento de dados pessoais nos seus mais diversos setores (RH, Financeiro, Comercial etc.), de modo que a proibição total do tratamento de dados ampla, genérica e indeterminada compromete o desenvolvimento de atividades básicas da empresa, o que poderá minar por completo sua permanência no mercado.

É de se destacar que além das contribuições orais feitas na audiência do dia 02.09.2022, a ANPD recebeu mais de 2.500 contribuições escritas da sociedade civil relativamente à proposta de Regulamento da dosimetria e aplicação de sanções. Tais contribuições estão sendo analisadas pela Coordenação-Geral de Normatização do ponto de vista da admissibilidade e, em seguida, a incorporação das sugestões será avaliada pela equipe de projeto da ANPD [4].

Após as contribuições, a ANPD tem a oportunidade de aprimorar a proposta do Regulamento apresentada, tornando-a mais objetiva e clara em alguns aspectos, mais coesa em relação ao regramento já existente no ordenamento jurídico brasileiro, o que certamente terá impacto positivo no que se refere à confiança e à segurança jurídica na aplicação desse regulamento.


[1] "Artigo 28. A ANPD poderá afastar a metodologia de dosimetria de sanção de multa ou substituir a aplicação de sanção por outra constante neste Regulamento, nos casos em que se constatar prejuízo à proporcionalidade entre a gravidade da infração e a intensidade da sanção, observado o disposto neste Regulamento e nas demais normas aplicáveis".

[3] Segundo artigo 27 da proposta do Regulamento, a sanção de proibição total  do exercício de atividades relacionadas ao tratamento de dados poderá ser aplicada nas seguintes hipóteses: "I – houver reincidência em infração punida com suspensão parcial do funcionamento do banco de dados ou suspensão do exercício da atividade de tratamento dos dados pessoais; II – ocorrer tratamento de dados pessoais com fins ilícitos ou sem amparo em hipótese legal; ou III – o infrator perder ou não atender as condições técnicas e operacionais para manter o adequado tratamento de dados pessoais".

Autores

  • Brave

    é associada no escritório Madruga BTW e especializada em Direito Digital e Proteção de Dados pelo Instituto Brasileiro de Ensino, Desenvolvimento e Pesquisa (IDP).

Tags:

Encontrou um erro? Avise nossa equipe!