Aplicações de multas pela autoridade de proteção de dados

No último 27 de fevereiro, a ANPD (Autoridade Nacional de Proteção de Dados) publicou resolução que possibilita a aplicação de sanções administrativas em caso de violação aos preceitos de proteção de dados pessoais. As multas — que até agora não tinham sido ainda aplicadas no Brasil — começarão a ocupar os canais de notícias daqui para frente.

Outra sanção não escrita, mas que causa grande preocupação às empresas, diz respeito à sua reputação. Ninguém gostaria de ter seu nome associado a uma infração de multa, o que poderia abalar a confiança do consumidor nos produtos ou serviços da marca. Na sociedade informacional nunca foi tão importante se prevenir.

Nesse sentido, fará a diferença ter elaborado — e mantido — um bom plano de governança de dados pessoais na organização. Destaque-se que a fiscalização da ANPD poderá exigir cópia dos documentos relevantes para avaliar as atividades de tratamento de dados pessoais. A autoridade também poderá ter acesso às instalações, equipamentos, aplicativos, sistemas, ferramentas, recursos tecnológicos, dados e informações de natureza técnica, operacional e outras relevantes para a devida avaliação, em seu poder ou em poder de terceiros. Numa situação de fiscalização, portanto, ficará latente se a adequação de conformidade com a lei e regulação, por parte da organização, fora do tipo generalizado e parcial, ou integral e sob medida ao negócio, como é recomendado.

Ademais, a normativa da ANPD atribui especial importância à realização de treinamentos sobre proteção de dados pessoais e cibersegurança. Essa iniciativa precisa envolver todos os lados: empregados, fornecedores, parceiros e stakeholders. Ademais, sabe-se que é por meio da mudança de cultura que verdadeiras conquistas são alcançadas, o mero advento de uma lei ou norma não são capazes, por si só, de alterarem o comportamento das pessoas e dos processos operacionais da organização. Daí a tônica nos treinamentos, cursos, workshops etc serem tão necessárias. Não à toa, a ANPD tem como uma de suas medidas de orientação e expressamente dispõe sobre a "sugestão aos agentes regulados da realização de treinamentos e cursos". Aliás, o descumprimento de medida de orientação consistente em circunstância agravante para fins de cálculo da sanção administrativa.

Com a fiscalização às portas, é bom esclarecer que esse procedimento pode se dar por iniciativa da própria ANPD, em decorrência seja de programas periódicos de fiscalização, seja de forma coordenada com outros órgãos e entidades públicos, como CVM, Bacen, Cade, Senacon e outros, ou, seja em cooperação com autoridades de proteção de dados pessoais de outros países.

Ressalte-se que o Regulamento de Dosimetria informa que para definição da sanção, serão levados em consideração, dentre outros critérios mencionados no artigo 7º do Regulamento de Dosimetria, a:

— boa-fé do infrator;

— cooperação do infrator;

— adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados, em consonância com a LGPD;

— adoção de política de boas práticas e governança;

— pronta adoção de medidas corretivas.

Conforme se nota pelos critérios acima citados, a aplicação de multa em eventual procedimento será balizada por questões relacionadas à postura, prevenção e reação do infrator. Dito de outra maneira, fará a diferença a postura no agir corretamente (boa-fé e cooperação), a prevenção tanto do trabalho consistente realizado com planejamento (adoção de mecanismos para diminuir o dano), quanto na elaboração de normas e processos internos que assegurem o cumprimento abrangente da legislação de proteção de dados pessoais, estabelecidos e implementados pelo agente de tratamento mediante a adoção de regras de boas práticas e de governança, nos termos do artigo 50, caput e §1º, da LGPD; ou mediante programa de governança em privacidade, nos termos do §2º do artigo 50 da LGPD (adoção de política de boas práticas e governança), e, a reação nas respostas que devem ser ágeis e assertivas diante dos incidentes e/ou irregularidades constatadas (pronta adoção de medidas corretivas).

Quanto ao cálculo das multas, o Regulamento de Dosimetria apresenta metodologia específica para aplicação da sanção. O cálculo parte do conceito da alíquota-base, sobre o qual será levado em conta o percentual do faturamento do infrator, sendo de 0,08% a 0,15%, quando a infração for leve; de 0,13% a 0,5% do faturamento quando a infração for média; e de 0,45% a 1,50% do faturamento quando a infração for grave. Além disso, para o cálculo da alíquota-base, também levar-se-á em conta o grau do dano causado pela infração.

Há quatro níveis considerados para estabelecimento do grau do dano causado pela infração. O primeiro, de valor nulo, quando a infração não ocasiona danos ou somente ocasiona danos com impactos insignificantes, que decorrem de situações previsíveis ou corriqueiras e que não justificam a necessidade de compensação. O segundo nível, de peso 1, quando a infração ocasiona lesão ou ofensa a direitos ou interesses de um número reduzido de titulares, com impacto de ordem material ou moral limitado, que pode ser revertido ou compensado com relativa facilidade. Eleva-se a gravidade para um terceiro nível, de peso 2, quando a lesão afeta direitos ou interesses difusos, coletivos ou individuais que, dadas as circunstâncias do caso, geram impactos aos titulares de ordem material ou moral, que não podem ser revertidos ou compensados facilmente. Por fim, atinge-se o grau do dano mais grave, de peso 3, quando a ofensa a direitos ou interesses difusos, coletivos ou individuais, tem impacto irreversível ou de difícil reversão sobre os indivíduos afetados, ocasionando, dentre os impactos de ordem material ou moral, aspectos de discriminação, violação à integridade física, ao direito à imagem e à reputação, fraudes financeiras ou uso indevido de identidade.

O grau do dano é um fator na operação matemática contida no regulamento, por isso a sua definição e respectivo peso serão muito relevantes para os valores produto dessa equação, a qual também terá a classificação da infração, e seu respectivo percentual do faturamento do infrator como parcela a ser considerada.

Superado a definição da alíquota-base, em uma segunda etapa da dosimetria, são considerados os tributos incidentes subtraindo-os do faturamento, ao que levará ao chamado valor-base da multa, sobre o qual serão consideradas as circunstâncias agravantes e as atenuantes (terceira etapa), para, então, chegar ao montante final do valor.

Nos casos em que houver uma vantagem auferida, e sendo essa estimável, há uma quarta etapa na dosimetria, na qual será verificado se o valor da multa resultante é ao menos o valor do dobro da vantagem auferida. Caso o valor da multa seja menor, realizar-se-á um ajuste para que o montante final da multa seja o dobro da vantagem auferida na infração.

São consideradas circunstâncias agravantes, a reincidência e o não cumprimento de medida de orientação, ou de medida corretiva descumpridas no processo de fiscalização ou do procedimento preparatório que precedeu o processo administrativo sancionador.

Para casos de reincidência o valor da multa simples será acrescido de 5% nos casos de reincidência genérica, e 10% nos casos de reincidência específica, até o limite de 20% a 40%, respectivamente. Considera-se genérica o cometimento de infração pelo mesmo infrator, independentemente do dispositivo legal ou regulamentar, e específica a repetição da infração incidindo no mesmo dispositivo legal ou regulamentar. Em ambos os casos, para fins de aplicação de reincidência, conta-se o período de cinco anos entre a data do trânsito em julgado do processo administrativo sancionador anterior, e a data da nova infração da infração.

Em relação ao descumprimento de medidas, será considerado como agravante as medidas de orientação ou preventiva descumpridas no processo de fiscalização ou do procedimento preparatório que precedeu o processo administrativo sancionador. O acréscimo será de 20% para cada medida descumprida, até o limite de 80%. Constituem medidas de orientação da ANPD 1) a elaboração e disponibilização de guias de boas práticas e de modelos de documentos para serem utilizados por agentes de tratamento, 2) a sugestão aos agentes regulados da realização de treinamentos e cursos, 3) a elaboração e disponibilização de ferramentas de autoavaliação de conformidade e de avaliação de riscos a serem utilizadas pelos agentes de tratamento, 4) o reconhecimento e divulgação das regras de boas práticas e de governança, 5) a recomendação: a) da utilização de padrões técnicos que facilitem o controle pelos titulares de seus dados pessoais; b) da implementação de Programa de Governança em Privacidade; e, c) a observância de códigos de conduta e de boas práticas estabelecidas por organismos de certificação ou outra entidade responsável.

Nos casos de descumprimento de medidas corretivas — ou seja, daquelas determinadas pela ANPD com a finalidade de corrigir a infração e reconduzir o infrator à plena conformidade à LGPD e aos regulamentos expedidos pela ANPD —, o acréscimo sobre o valor da multa simples será de 30% por cada medida, até o limite de 90%.

Na hipótese de existir mais de uma circunstância agravante no caso, por exemplo, reincidência do infrator e também haver descumprimento de medida de orientação, deverão ser somados os percentuais relativos a cada parcela.

Quanto às circunstância atenuantes, o valor da multa simples será reduzido de 75% a 30% nos casos de cessação da infração, sendo que será de 75% a redução quando a cessão ocorrer antes da instauração do procedimento preparatório pela ANPD; de 50% quando ocorrer se após a instauração de procedimento preparatório e até a instauração de processo administrativo sancionador; e de 30% se após a instauração de processo administrativo sancionador e até a prolação da decisão de primeira instância no âmbito do processo administrativo sancionador. Importante observar que nos casos antes mencionados não serão consideradas atenuantes a cessação da infração decorrente do mero cumprimento de determinação administrativa ou judicial.

Também é considerada como circunstância atenuante, com redução de 20%, a comprovação do infrator, até a prolação da decisão de primeira instância no âmbito do processo administrativo sancionador, ter implementado política de boas práticas e de governança ou de ter adotado, reiteradamente e de modo demonstrável, mecanismos e procedimentos internos capazes de minimizar os danos aos titulares, voltados ao tratamento seguro e adequado de dados.

Quando o infrator comprovar a implementação de medidas capazes de reverter ou mitigar os efeitos da infração sobre os titulares de dados pessoais afetados, haverá redução de 20% desde que tenha ocorrido previamente à instauração de procedimento preparatório ou processo administrativo sancionador pela ANPD. Será de 10% quando essa implementação tiver ocorrido, por sua vez, após a instauração de procedimento preparatório e até a instauração de processo administrativo sancionador. Não serão consideradas atenuantes a adoção de medidas pelo infrator decorrente do mero cumprimento de determinação administrativa ou judicial.

Será considerada, ainda, circunstância atenuante, a constatação, por parte da ANPD, da cooperação ou boa-fé do infrator, o que poderá beneficiá-lo na redução da multa em 5%. No caso de existir mais de uma atenuante, na mesma esteira de raciocínio das agravantes, os percentuais deverão ser somados em benefício do infrator.

O pagamento da multa, uma vez imposta pela ANPD, após o devido processo, observado o contraditório e a ampla defesa, deverá ser paga no prazo de 20 dias úteis, a partir da ciência oficial da decisão, com exceção dos agentes de tratamento de pequeno porte os quais terão o prazo em dobro para pagamento. Sobre os casos de não pagamento na data prevista no regulamento, incidirão juros de mora e multa moratória de 0,33%.

Da decisão da ANPD caberá recurso, porém, se o infrator renunciar expressamente a esse direito, fará jus a um percentual de 25% de redução no valor da multa aplicada. Por sua vez, caso interponha recurso e obtenha provimento, o valor da multa paga será restituído com correção de juros (taxa Selic).

Dito tudo isso, extrai-se a lição de manter a atenção e conhecimento aplicado, nas organizações, derivados das regras de fiscalização e dosimetria da pena, por meio de especialistas em proteção de dados, privacidade e cibersegurança, seja pelo seu time interno e/ou por terceiros contratados, para o correto e atualizado planejamento e governança de dados.