Regulamento de dosimetria e aplicação de sanções administrativas da ANPD

A ANPD (Autoridade Nacional de Proteção de Dados), cumprindo o determinado pelo artigo 55-J, inciso IV, da LGPD (Lei Geral de Proteção de Dados Pessoais), e em atenção ao princípio da legalidade administrativa, já havia se movimentado e aprovado a Resolução CD/ANPD nº 1, em outubro de 2021, estabelecendo o Regulamento do Processo de Fiscalização e do Processo Administrativo Sancionador no âmbito da autoridade nacional.

123RF

Ocorre que, apesar de definidos o procedimento fiscalizatório e o processo de aplicação de penalidades, na ocasião não foram determinados parâmetros aptos a estabelecer dosimetria para aplicação das sanções administrativas previstas no artigo 52 da LGPD, ou seja, os critérios que devem ser observados na definição da sanção administrativa que deverá ser aplicada às eventuais infrações, de acordo com o fato concreto.

O artigo 52 da LGPD estabelece nove sanções administrativas aplicáveis, pois três anteriormente previstas na lei foram vetadas:

I – advertência, com indicação de prazo para adoção de medidas corretivas;
II – multa simples, de até 2% do faturamento da pessoa jurídica de direito privado, limitada a R$ 50 mi de reais por infração;
III – multa diária, observado o limite total a que se refere o inciso II;
IV – publicização da infração;
V – bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
VI – eliminação dos dados pessoais a que se refere a infração;
X – suspensão parcial do funcionamento do banco de dados;
XI – suspensão do exercício da atividade de tratamento dos dados pessoais; e
XII – proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.

Desta forma, a Resolução CD/ANPD nº 4 (Resolução n º 4) estabeleceu o Regulamento de Dosimetria e Aplicação de Sanções Administrativas, permitindo que o poder sancionador seja exercido pela ANPD, com a aplicação das penalidades previstas na LGPD, tendo efeito imediato a partir da publicação. Empresas que infringirem a LGPD poderão sofrer as sanções administrativas previstas no artigo 52 e, agora, com mais segurança jurídica conseguem estimar a dosimetria das penalidades, de acordo com os parâmetros de cálculos estabelecidos pela Resolução nº 4.

As sanções serão aplicadas após procedimento administrativo, assegurando o direito à ampla defesa, ao contraditório e ao devido processo legal. As infrações são classificadas de acordo com sua natureza e os direitos pessoais afetados, sendo:

Leve – quando não incorrer nas hipóteses classificadas como Média ou Grave;
Média – quando a atividade afetar os direitos fundamentais dos titulares, impedindo ou limitando o exercício de direitos ou utilização de serviço, assim como quando ocasionar danos materiais ou morais aos titulares, desde que não seja classificada como grave.
Grave – sempre que constituir obstrução à atividade de fiscalização ou envolver as hipóteses classificadas como natureza Média, cumulativamente, com pelo menos uma das situações previstas no artigo 8º, §3º, inciso I da Resolução nº 4:

a) envolver tratamento de dados pessoais em larga escala, caracterizado quando abranger número significativo de titulares, considerando-se, ainda, o volume de dados envolvidos, bem como a duração, a frequência e a extensão geográfica do tratamento realizado;
b) o infrator auferir ou pretender auferir vantagem econômica em decorrência da infração cometida;
c) a infração implicar risco à vida dos titulares;
d) a infração envolver tratamento de dados sensíveis ou de dados pessoais de crianças, de adolescentes ou de idosos;
e) o infrator realizar tratamento de dados pessoais sem amparo em uma das hipóteses legais previstas na LGPD;
f) o infrator realizar tratamento com efeitos discriminatórios ilícitos ou abusivos; ou
g) verificada a adoção sistemática de práticas irregulares pelo infrator.

Assim, todas as penalidades previstas no artigo 52 da LGPD serão aplicadas conforme classificação da infração em: Leve, Média ou Grave. Ainda, deverão ser observados os parâmetros definidos pela resolução para definição de valor-base na aplicação de multas e os critérios estabelecidos para aplicação das circunstâncias Agravantes e Atenuantes que poderão reduzir ou aumentar os valores.

Por fim, a ANPD definiu como critérios para definição do valor-base da multa simples a classificação da infração, o faturamento do infrator no último exercício disponível anterior à aplicação da sanção e o grau do dano.

Quanto à aplicação de multa diária, a ANPD aplicará a sanção acumuladamente, considerando o tempo entre a incidência da multa e o cumprimento da obrigação, até o limite total de R$ 50 mil por infração. A multa diária poderá ser aplicada quando necessária para assegurar o cumprimento, em prazo certo, de uma sanção não pecuniária ou de uma determinação estabelecida pela ANPD ou quando o infrator: 1) após notificado do cometimento de irregularidades que tenham sido praticadas deixar de saná-las no prazo assinalado; 2) praticar obstrução à atividade de fiscalização, desde que a aplicação da multa diária seja necessária para desobstruí-la; ou 3) praticar infração permanente não cessada até a decisão.

Importante salientar que as sanções previstas no artigo 52, incisos X, XI e XII da LGPD, somente incidirão em caso de reincidência e após ter sido imposta ao menos uma das penalidades tratadas nos incisos I, II, III, IV, V e VI do referido artigo.

De acordo com os especialistas, a espécie de reincidência traz diferenciais quanto à dosimetria da penalidade, sendo que a Resolução CD/ANPD nº 4 estabelece que a reincidência específica é a repetição de infração pelo mesmo infrator ao mesmo dispositivo legal ou regulamentar, no período de cinco anos, contado do trânsito em julgado do processo administrativo sancionador até a data do cometimento da nova infração. Já a reincidência genérica, é a infração realizada pelo mesmo infrator, independentemente do dispositivo legal ou regulamentar, no período de 5 anos, contado do trânsito em julgado do processo administrativo sancionador até a data do cometimento da nova infração.

Além disso, a ANPD poderá aplicar ao infrator a sanção de bloqueio dos dados pessoais, a de eliminação dos dados pessoais, ou seja, a exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado, a sanção de suspensão parcial do funcionamento do banco de dados e a sanção de suspensão do exercício de atividade de tratamento dos dados pessoais.

Por fim, a sanção de proibição do exercício de atividades relacionadas a tratamento de dados pessoais consiste no impedimento parcial ou total das operações de tratamento de dados pessoais, quando 1) houver reincidência em infração punida com suspensão parcial do funcionamento do banco de dados ou suspensão do exercício da atividade de tratamento dos dados pessoais; 2) ocorrer tratamento de dados pessoais com fins ilícitos, ou sem amparo em hipótese legal; ou 3) o infrator perder ou não atender as condições técnicas e operacionais para manter o adequado tratamento de dados pessoais.

Após uma longa trajetória entre a publicação da LGPD, que se deu em agosto de 2018, sua entrada em vigor em setembro de 2020 (com exceção dos artigos 52, 53 e 54 que entraram em vigor a partir de agosto de 2021), a posterior publicação da resolução CD/ANPD 1 de outubro de 2021 e agora a resolução CD/ANPD 4, enfim a ANPD possui todos os subsídios necessários para iniciar os Processos de Fiscalização e os Processos Administrativos Sancionadores para fazer valer os termos da LGPD com o incentivo coercitivo.

A edição da resolução CD/ANPD 4 também é uma excelente ferramenta para que as empresas possam mensurar com mais clareza e assertividade os riscos que estão assumindo com os processos de tratamento de dados que realizam e a forma com que os executam, subsidiando de forma mais robusta a tomada de decisão do negócio, já que proteção de dados se aplica desde a concepção de qualquer atividade de tratamento de dados pessoais existente na organização.

Portanto, as empresas que não se adequaram ainda à LGPD devem realizar esse procedimento o quanto antes, e as que já têm um programa de proteção de dados implantado devem revisitar seus mapas de risco e revisar os procedimentos desse programa a fim de garantir a conformidade com a lei, bem como ter um plano de contingência atualizado conforme a nova Resolução nº 4.