Opinião

Regulamento de dosimetria e aplicação de sanções administrativas da ANPD

Autores

11 de março de 2023, 7h06

O período que sucedeu a publicação da Lei Geral de Proteção de Dados (LGPD) foi marcado por diversas controvérsias quanto aos possíveis impactos da nova lei. Um dos pontos centrais de dúvida dizia respeito ao momento no qual as penalidades previstas passariam a ser efetivamente aplicadas. Naquela época, muitos eram os impeditivos para a imposição de sanções, uma vez que não existia um órgão estruturado ou uma metodologia para condução do processo administrativo.

Superando os impeditivos acima listados, na última segunda feira, 27 de fevereiro de 2023, a agora estruturada Autoridade Nacional de Proteção de Dados (ANPD) deu o último passo necessário para viabilizar a penalização administrativa dos agentes que violarem a LGPD, qual seja, a publicação da Resolução nº 4 da ANPD, o Regulamento de Dosimetria e Aplicação de Sanções Administrativas (Regulamento) [1].

Referido documento dispõe sobre como classificar as infrações e aplicar a sanção correspondente ao ilícito praticado. Trata-se, ademais, de uma construção coletiva, publicada após a realização de consulta pública, na qual diversos profissionais, dentre eles o sócio do dcom advogados Lucas Sávio Oliveira [2], puderam se manifestar sobre o texto base apresentado.

Agora, é importante conhecer os pontos centrais do regulamento, bem como o impacto deste sobre os agentes de tratamento.

Classificação das infrações
Como não poderia deixar de ser, o regulamento trata da aplicação das penalidades já previstas no artigo 52 da LGPD, quais sejam: advertência, multa simples, multa diária, publicização da infração, bloqueio dos dados pessoais e proibição do tratamento. A definição de qual sanção será aplicada parte, em primeiro lugar, da gravidade da infração, podendo ela ser leve, média ou grave.

As infrações leves são classificadas por exclusão, isto é, a infração será leve sempre que ela não puder ser enquadrada como média ou grave (artigo 8º, §1º do Regulamento).

Para a infração ser classificada como média, deverá ser apurado o impacto da violação sobre os interesses e direitos dos titulares afetados). Em outras palavras, uma infração será de gravidade média, quando qualquer conduta do agente infrator possa impedir, ou limitar de maneira significativa, o exercício dos direitos dos titulares ou o acesso a um serviço, ou, ainda, quando ocasionar danos materiais ou morais aos titulares (artigo 8º, §2º do regulamento).

Para ser considerada grave, basta que a infração constitua uma obstrução à atividade de fiscalização ou que, em caso de uma infração já classificada como média, ela também apresente uma das seguintes características (artigo 8º, §3º do regulamento):

envolva tratamento de dados pessoais em larga escala;

tenha proporcionado ou tenha como objetivo auferir vantagem econômica;

implique risco à vida dos titulares;

envolva tratamento de dados pessoais sensíveis ou de dados pessoais de crianças, de adolescentes ou de idosos;

envolva tratamento de dados sem amparo nas hipóteses legais previstas na LGPD;

tratamento com efeitos discriminatórios ilícitos ou abusivos;

seja verificada a adoção sistemática de práticas irregulares pelo infrator.

Além de ser o ponto de partida para determinar qual será a sanção aplicada, a classificação das infrações também influenciará o cálculo de multas, uma vez que o valor-base das multas será diretamente proporcional à classificação da infração.

Metodologia de Cálculo das Multas
Valor base

Tratando-se de caso no qual é cabível a aplicação de multa, o artigo 11 do regulamento apresenta critérios precisos para o cálculo da multa. Primeiro, deve ser calculado um valor-base que, posteriormente, poderá aumentar ou diminuir a depender das verificação de determinadas circunstâncias agravantes ou atenuantes.

O valor-base será, em resumo, o resultado de operação que terá como fatores o faturamento do infrator e alíquotas determinadas de acordo com a gravidade da infração e o grau do dano (artigo 11, I, II e III e Apêndice I do regulamento). Para apurar o faturamento, serão considerados os valores auferidos com vendas, serviços e operações do infrator, no ramo em que ocorreu a infração, ficando descontados o valor pago a título de tributos (artigo 11, § 1 º do regulamento c/c com artigo 12 do Decreto-Lei nº 1.598, de 26 de dezembro de 1977). Tratando-se, ainda, de infração ocorrida em mais de um ramo de atividade ou envolvendo dados aproveitados em mais de um ramo de atividade, deverá haver soma dos faturamentos de todos os ramos envolvidos (artigo 11, § 2º do regulamento).

A não apresentação, apresentação intempestiva ou apresentação incorreta do faturamento poderá, por seu turno, autorizar a ANPD a estipular esse valor (artigo 11, § 3º do regulamento), tendo como referência:

os limites de faturamento disponíveis na Lei Complementar 123 (que disciplina o regime das empresas de médio e pequeno porte) ou Lei Complementar 182 (Lei das Startups) (artigo 11, IV, a e b do regulamento);

o faturamento total da empresa, do grupo ou conglomerado de empresas no Brasil, caso não disponível a informação referente ao ramo de atividade empresarial em que ocorreu a infração (artigo 11, IV c do regulamento);

o somatório dos rendimentos recebidos por pessoas naturais referentes a atividades de tratamento de dados pessoais, direta ou indiretamente (artigo 11, IV, d, do regulamento);

ou nos demais casos, o limite de faturamento correspondente ao valor máximo de multa de R$ 50 milhões (artigo 11, IV, d do regulamento).

Há, ainda, a possibilidade de apuração do faturamento tendo como base o faturamento de anos anteriores (artigo 11, § 4º, IV, a do regulamento) ou tabela com números absolutos (artigo 11, § 4º, IV, b c/c Apêndice I do Regulamento) em casos em que o infrator comprovadamente não tenha tido faturamento no ano de ocorrência da infração.

Agravantes e Atenuantes
Em coerência com a preocupação já manifestada pela ANPD, no sentido de que as sanções serão aplicadas de forma proporcional ao caso concreto e que serão levadas em consideração o grau conformidade à LGPD e a adoção de boas práticas em proteção de dados, são consideradas no regulamento circunstâncias que podem aumentar ou diminuir o valor da sanção de multa simples. São as chamadas circunstâncias agravantes e atenuantes, descritas nos artigos 12 e 13.

A agravantes são situações que podem levar ao aumento do valor-base da multa simples. São elas: (1) reincidência do infrator; (2) descumprimento de medida de orientação ou preventiva no processo fiscalizatório ou no procedimento preparatório, anteriores ao processo administrativo sancionador; e o (3) descumprimento de medida corretiva.

Por sua vez, a ANPD considerará como circunstâncias atenuantes, ou seja, de diminuição do valor-base: (1) cessação da infração até a decisão em primeira instância do processo administrativo sancionador; (2) implementação de boas práticas e de governança; (3) adoção reiterada e demonstrada de procedimentos e mecanismos internos capazes de minimizar os danos aos titulares; (4) comprovação de implementação de medidas capazes de reverter ou mitigar os efeitos da infração sobre os titulares afetados; e (5) cooperação ou boa-fé do infrator.

Um ponto de atenção é que, caso o infrator se encaixe em mais de uma das hipóteses dos incisos dos artigos 12 e 13, os percentuais ali descritos serão somados. Nesta hipótese, um infrator que descumpre tanto medidas preventivas como corretivas, poderá ter um aumento significativo no valor da multa, que poderá chegar a até mais de 90%. Por outro lado, um infrator que consegue cessar a infração antes da instauração do procedimento preparatório pela ANPD e que implementou políticas de boas práticas e governança até a decisão de primeira instância, poderá ter a multa reduzida em 95%.

Participação do infrator e de órgãos setoriais
Como já havia sido expressado pelo diretor-presidente, Waldemar Gonçalves Ortunho Júnior, em entrevista ao Jota [3], a ANPD está ciente que as sanções administrativas podem afetar diretamente as atividades da empresa e que, em um cenário drástico, podem levar até o encerramento das atividades.

Tal preocupação é refletida na previsão do §2º, artigo 3º, quando a ANPD informa que cuidará de cientificar o principal órgão ou entidade reguladora setorial a que se submete o controlador, durante a fase de instrução do processo, a fim de que se manifeste sobre eventuais consequências da imposição das sanções para o exercício das atividades econômicas reguladas desenvolvidas pelo controlador. Além disso, ela também oportuniza que o infrator se manifeste sobre os pontos que foram levantados.

Esta troca de informações, permite que a realidade da atividade empresarial seja considerada, não só por meio das informações coletadas pela própria Autoridade, mas também com a participação do órgão ou entidade reguladora e do próprio infrator que poderá apresentar suas ponderações.

Equilíbrio
A ANPD reflete no regulamento a preocupação em proteger o titular de dados, consagrando os fundamentos descritos no artigo 2º, da LGPD, mas também não deixa a atividade empresarial fora de cena. Afinal, do texto do regulamento percebe-se que a ANPD considera o tamanho da empresa, o dano do incidente e o risco envolvido antes de atribuir a sanção correspondente.

Ainda não se sabe como o regulamento será aplicado na prática, mas, como lição mais importante, ele deixa claro a essencialidade de se ter um efetivo Programa de Governança em Proteção de Dados. Afinal, um bom Programa, com políticas, procedimentos e processos bem definidos, é capaz de reduzir a possibilidade de infrações, além de poder reduzir o valor de eventual multa em mais de 75%.

 


[1] O Regulamento está disponível em https://www.in.gov.br/web/dou/-/resolucao-cd/anpd-n-4-de-24-de-fevereiro-de-2023-466146077. Acesso em 1º de março de 2023.

[2] A Audiência Pública sobre dosimetria e aplicação das sanções, ocorrida em 2 de setembro de 2022, está integralmente disponível em https://www.youtube.com/watch?v=BglK2VKAvjM. Acesso em 1º de março de 2023.

[3] Entrevista publicada em 06 de fevereiro de 2023 no Jota, com a manchete ANPD mira em punições para garantir cumprimento da lei de dados, que está disponível em https://www.jota.info/coberturas-especiais/protecao-de-dados/anpd-mira-em-punicoes-para-garantir-cumprimento-da-lei-de-dados-06022023. Acesso em 1º de março de 2023.

Autores

Tags:

Encontrou um erro? Avise nossa equipe!