Foi publicado pela Autoridade Nacional de Proteção de Dados (“ANPD”), no dia 27 de fevereiro de 2023, o Regulamento de Dosimetria e Aplicação de Sanções Administrativas (Resolução nº 4 de 24 de fevereiro de 2023), que trata da atuação sancionadora da ANPD e reforça a sua atividade fiscalizatória (“Regulamento”).
O Regulamento tem por objetivo estabelecer parâmetros e critérios para aplicação de sanções administrativas pela ANPD, bem como as formas e dosimetrias para o cálculo do valor-base das sanções de multa.
O Regulamento representa um avanço no contexto regulatório de proteção de dados pessoais no Brasil, pois, até então, a ANPD não tinha legitimidade para sancionar agentes de tratamento que realizassem tratamentos de dados pessoais em desconformidade com a LGPD – não obstante outras autoridades terem legitimidade para penalizar infratores. O Regulamente tem aplicabilidade imediata.
Ressalva-se que as sanções serão aplicadas somente após procedimento administrativo mediante decisão fundamentada da ANPD, assegurado o direito à ampla defesa, ao contraditório e ao devido processo legal.
A seguir, relembramos quais são as sanções previstas na LGPD:
Com exceção das multas, todas as demais sanções poderão ser aplicadas também ao Poder Público.
I. Critérios gerais para aplicação das sanções administrativas
O Regulamento busca garantir a proporcionalidade entre a sanção aplicada e a gravidade da conduta do agente e proporcionar segurança jurídica aos processos fiscalizatórios.
Em síntese, ao analisar o caso, a ANPD considerará os seguintes critérios: gravidade e natureza das infrações e dos direitos pessoais afetados; boa-fé do infrator; vantagem auferida ou pretendida pelo infrator; condição econômica do infrator; reincidência; grau do dano; cooperação do infrator; adoção de mecanismos e procedimentos internos capazes de minimizar o dano; adoção de política de boas práticas e governança; pronta adoção de medidas corretivas; e proporcionalidade entre a gravidade da falta e a intensidade da sanção.
1.1 Gravidade das infrações
|
Nível de infração |
Critérios |
|
Grave |
Infrações que envolvam os fatores listados abaixo cumulados com os critérios das infrações médias: – Tratamento realizado em larga escala (número significativo de titulares, volume de dados envolvidos, duração, frequência e/ou extensão geográfica do tratamento realizado) |
|
Média |
Infrações que afetarem significativamente interesses e direitos fundamentais dos titulares de dados pessoais, caracterizadas nas situações em que atividade de tratamento puder impedir ou limitar, de maneira significativa, o exercício de direitos ou a utilização de um serviço, assim como ocasionar danos materiais ou morais aos titulares, tais como discriminação, violação à integridade física, violação ao direito à imagem e à reputação, fraudes financeiras, ou uso indevido de identidade, desde que não sejam classificadas como grave |
|
Leve |
Infrações residuais, na medida em que são aquelas que não são consideradas médias ou graves |
1.2 Reincidência do agente infrator
|
Tipo de reincidência |
Critérios |
|
Específica |
Agente desrespeita a mesma regra no período de cinco anos, do trânsito em julgado até a data da nova infração |
|
Genérica |
Agente descumpre alguma regra legal ou regulamentar, independentemente de qual, em igual período |
II. Critérios para a definição do valor-base de multa simples
Abaixo, os critérios a serem considerados na aplicação de multa simples. Os detalhes do cálculo de multa podem ser encontrados no Apêndice I do Regulamento.
2.1. Classificação da infração: conforme tabela do item 1.1 acima.
2.2. Faturamento do infrator no último exercício disponível anterior à aplicação da sanção[1], relativo ao ramo de atividade empresarial em que ocorreu a infração.
2.3. Grau do dano, conforme tabela abaixo:
|
Grau do Dano |
Critérios |
|
|
Infração ocasiona lesão ou ofensa a direitos ou interesses difusos, coletivos ou individuais que tem impacto irreversível ou de difícil reversão sobre os titulares afetados de ordem material ou moral que podem ocasionar situações de discriminação, violação à integridade física, à imagem, à reputação, fraudes financeira ou uso indevido de identidade |
|
Grau 2 |
Infração ocasiona lesão ou ofensa a direitos ou interesses difusos, coletivos ou individuais que geram impacto nos titulares e não estão enquadradas nos danos de 0, 1 ou 3 |
|
Grau 1 |
Infração ocasiona lesão ou ofensa a direitos de número reduzido de titulares, com impacto de ordem material ou moral limitado, que pode ser revertido ou compensado facilmente |
|
Grau 0 |
Infração ocasiona danos insignificantes aos titulares que decorrem de situações previsíveis ou corriqueiras |
Descumprimento de determinações da ANPD, hipóteses de litigância de má-fé, dentre outras falhas processuais também podem ser enquadradas como dano, nos termos do Apêndice I do Regulamento.
2.4. Circunstâncias agravantes: o valor da multa será acrescido nos cenários abaixo:
(i). Reincidência específica ou genérica; e
(ii). Descumprimento de alguma determinação (preventiva ou corretiva) da ANPD.
Os valores de acréscimo variam entre 5% – 90% do valor inicial da multa.
2.5. Circunstâncias atenuantes: o valor da multa poderá ser reduzido nos seguintes cenários:
(i). Cessação da infração previamente à instauração de procedimento preparatório pela ANPD ou no curso do processo, antes da prolação da decisão de primeira instância;
(ii). Implementação de política de boas práticas e de governança ou adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar os danos aos titulares; e
(iii). Adoção de medidas capazes de reverter ou mitigar os efeitos da infração sobre os titulares de dados pessoais afetados.
Os valores de redução variam entre 5% – 75% do valor inicial da multa.
Algumas especificações sobre multas
-
A multa pode ser paga em até 20 dias úteis contados a partir da ciência oficial da decisão de aplicação de sanção, sendo que agentes de tratamento de pequeno porte, terão prazo em dobro.
-
O infrator que renunciar expressamente ao direito de recorrer da decisão de primeira instância, fará jus a um fator de redução de 25% no valor da multa aplicada.
-
A ANPD pode afastar a metodologia de dosimetria de sanção de multa ou substituir a aplicação de sanção por outra constante no Regulamento, nos casos em que for constatado prejuízo à proporcionalidade entre a gravidade da infração e a intensidade da sanção.
A equipe de Tecnologia e Proteção de Dados do Cescon Barrieu permanece à disposição para auxiliá-los com quaisquer questões relacionadas a proteção de dados.
Para acessar o Regulamento de Dosimetria e Aplicação de Sanções Administrativas da ANPD, clique aqui.
[1] Excluídos os tributos de que trata o inciso III do § 1º do art. 12 do Decreto-Lei nº 1.598, de 26 de dezembro de 1977
