ANPD PUBLICA REGULAMENTO DE DOSIMETRIA E APLICAÇÃO DE SANÇÕES ADMINISTRATIVAS

Na última segunda-feira (27/02), a Autoridade Nacional de Proteção de Dados (ANPD) publicou o Regulamento de Dosimetria e Aplicação de Sanções Administrativas, cujo principal objetivo da norma é estabelecer parâmetros e critérios para a aplicação de penalidades por descumprimento à LGPD, bem como as dosimetrias para o cálculo do valor base das sanções de multas.

CLASSIFICAÇÃO DAS INFRAÇÕES

As infrações foram classificadas em três grupos, conforme a gravidade, a natureza das infrações e dos direitos pessoais afetados, sendo:

  • Grave:
    • Quando constituir obstrução à atividade de fiscalização; ou
    • Quando afetar significativamente interesses e direitos fundamentais dos titulares de dados pessoais, da mesma forma que descrito na infração média, cumulativamente com pelo menos, uma das hipóteses abaixo:
      • Larga escala de tratamento de dados, caracterizado pelo número significativo de titulares, considerando volume de dados envolvidos, duração, frequência e extensão geográfica.
      • Infrator auferir ou pretender auferir vantagem econômica.
      • Infração implicar risco à vida dos titulares.
      • Infração envolver tratamento de dados sensíveis ou de dados pessoais de crianças, de adolescentes ou de idosos.
      • Infrator realizar tratamento de dados pessoais sem amparo em uma das hipóteses legais previstas na LGPD.
      • Infrator realizar tratamento com efeitos discriminatórios ilícitos ou abusivos.
      • Verificada a adoção sistemática de práticas irregulares pelo infrator.
  • Média:
    • Quando afetar significativamente interesses e direitos fundamentais dos titulares de dados pessoais, caracterizada nas situações em que a atividade de tratamento puder impedir ou limitar, de maneira significativa, o exercício de direitos ou a utilização de um serviço; ou
    • Quando ocasionar danos materiais ou morais aos titulares, como:  discriminação, violação à integridade física, violação ao direito à imagem e à reputação, fraudes financeiras ou uso indevido de identidade.
  • Leve:
    • Quando nenhuma das hipóteses estiverem relacionadas às infrações médias ou graves.

PENALIDADES E QUANDO SERÃO APLICADAS

As penalidades foram divididas em Advertência, Multas e Ações, a exemplo de Publicização, Bloqueio, Eliminação, Suspensão e Proibição de exercer atividades relacionadas ao tratamento de dados. Simplificadamente, conceituamos as penalidades e suas aplicações, sendo:

  • Advertência
    • Quando a infração for leve ou média e não caracterizar reincidência específica; ou
    • Quando houver necessidade de imposição de medidas corretivas.
  • Multa Simples
    • Quando o infrator não tenha atendido as medidas preventivas ou corretivas a ele impostas, dentro dos prazos estabelecidos; ou
    • Quando a infração for classificada como grave; ou
    • Quando pela natureza da infração, da atividade de tratamento ou dos dados pessoais, e pelas circunstâncias do caso concreto, não for adequado aplicar outra sanção.
  • Multa Diária
    • Será aplicada quando necessária para assegurar o cumprimento, em prazo certo, de uma sanção não pecuniária ou de uma determinação estabelecida pela ANPD.
  • Publicização da infração
    • Considerando a relevância e o interesse público da matéria, o próprio infrator deverá divulgar a infração, após devidamente apurada, indicando o teor, o meio, a duração e o prazo para seu cumprimento.
  • Bloqueio dos dados pessoais a que se refere a infração
    • A sanção de bloqueio dos dados pessoais consiste na suspensão temporária de qualquer operação de tratamento com os dados pessoais a que se refere a infração, mediante a sua guarda, até a regularização da conduta pelo infrator.
  • Eliminação dos dados pessoais a que se refere a infração
    • A sanção de eliminação dos dados pessoais consiste na exclusão do dado ou do conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado.
  • Suspensão parcial do funcionamento do banco de dados
    • Suspende o funcionamento de banco de dados em desacordo com a LGPD, pelo período de seis meses, podendo ser prorrogável por igual período, até a regularização da atividade.
  • Suspensão do exercício da atividade de tratamento dos dados pessoais
    • Suspende o exercício da atividade de tratamento dos dados pessoais a que se refere a infração, com o fim de assegurar o cumprimento das normas legais e regulamentares, pelo período de seis meses, podendo ser prorrogável por igual período.
  • Proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados
    • Quando ocorrer o tratamento de dados pessoais para fins ilícitos, ou sem amparo legal; ou quando ocorrer reincidência com penalidades de suspensões.

IMPORTANTE: As Suspensões e Proibições somente serão aplicadas após já ter sido imposta ao menos uma das demais penalidades.

As sanções serão aplicadas de forma gradativa, isolada ou cumulativamente, de acordo com as peculiaridades do caso concreto. Sendo que o não cumprimento da sanção aplicada ou a ausência de regularização da conduta no prazo estipulado, ensejará a progressão da atuação da ANPD para a aplicação de sanções mais graves.

ATENUANTES E AGRAVANTES

O valor da multa simples poderá ser acrescido em percentuais que variam entre 5% e 30%. Caso ocorra a incidência de mais de um percentual, estes serão somados a cada fator descumprido ou reincidente.

Por outro lado, as atenuantes poderão reduzir significativamente o valor da multa simples, podendo variar entre os percentuais de 5% a 75%. Caso ocorra a incidência de mais de um percentual, estes serão somados.

Vale ressaltar, que situações como implementação de políticas de boas práticas e de governança ou adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar os danos aos titulares, são alguns dos indicativos que demostram a efetividade de um programa de conformidade à LGPD.

BASE DE CÁLCULO

O cálculo da multa simples busca garantir a proporcionalidade entre a sanção aplicada e a gravidade da conduta do agente, por isso o cálculo leva em consideração três variáveis:

  • a classificação da infração que pode ser leve, média ou grave;
  • a categoria do infrator que pode ser pessoa jurídica com faturamento, pessoa natural ou pessoa jurídica sem faturamento;
  • as circunstâncias de atenuantes e agravantes de cada caso concreto

Além disso, o valor da multa precisa estar adequado de acordo com os limites nos valores mínimos e máximos da multa simples.

Por fim, o regulamento já entrou em vigor na segunda-feira (27/02) após sua publicação e encontra-se disponível em https://www.in.gov.br/en/web/dou/-/resolucao-cd/anpd-n-4-de-24-de-fevereiro-de-2023-466146077.

Permanecemos à disposição para qualquer esclarecimento/apoio adicional.

PEDRO ROBERTO SCHVARTZ

E-mail: pedro@volpi.adv.br