ANPD publica o Regulamento de Dosimetria e Aplicação de Sanções Administrativas por descumprimento à LGPD
Em 27 de fevereiro de 2023, foi publicada pela Autoridade Nacional de Proteção de Dados (“ANPD”) a Resolução CD/ANPD n.º 4, que aprova o Regulamento de Dosimetria e Aplicação de Sanções Administrativas referente às punições por descumprimento à Lei Geral de Proteção de Dados (“LGPD”).
O Regulamento em questão tem por objetivo estabelecer parâmetros e critérios para a aplicação das sanções administrativas previstas no artigo 52 da LGPD, bem como as formas e dosimetrias para o cálculo do valor-base das sanções de multa.
Conforme disposto no artigo 52 da LGPD, os agentes de tratamento de dados pessoais estarão sujeitos às seguintes sanções administrativas aplicáveis pela ANPD, em razão de infrações à LGPD:
(i) advertência;
(ii) multa simples;
(iii) multa diária;
(iv) publicização da infração;
(v) bloqueio dos dados pessoais a que se refere a infração;
(vi) eliminação dos dados pessoais a que se refere a infração;
(vii) suspensão parcial do funcionamento do banco de dados a que se refere a infração;
(viii) suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração; e
(ix) proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
A Resolução prevê que as sanções de suspensão parcial do funcionamento do banco de dados, suspensão do exercício da atividade de tratamento de dados pessoais e de proibição parcial ou total do exercício de atividades relacionadas ao tratamento de dados pessoais somente serão aplicadas após já ter sido imposta alguma das outras sanções referentes à aplicação de multas, publicização da infração e bloqueio ou eliminação dos dados pessoais. Caso a ANPD entenda pela adoção de tais medidas, a autoridade deverá comunicar ao principal órgão ou entidade reguladora setorial, com competências sancionatórias, a que se submete o infrator, durante a fase de instrução do processo administrativo, para que o órgão se manifeste sobre eventuais consequências da imposição das sanções para o exercício de atividades econômicas reguladas desenvolvidas pelo infrator, especialmente na prestação de serviços públicos, bem como para que forneça outras informações que entender pertinentes.
Um ponto importante a ser observado é que as sanções serão aplicadas pela ANPD de forma gradativa, isolada ou cumulativamente, de acordo com as peculiaridades de cada caso, não excluindo a possibilidade de adoção de outras medidas administrativas pela ANPD. No entanto, o não cumprimento da sanção aplicada ou a ausência de regularização da conduta infratora dentro do prazo estipulado ensejará a aplicação de sanções mais graves, sem prejuízo da adoção das demais medidas legais cabíveis.
A definição da sanção a ser aplicada pela ANPD levará em consideração diversos critérios, como (i) a gravidade e a natureza das infrações e dos direitos pessoais afetados; (ii) a boa-fé do infrator; (iii) a condição econômica do infrator; (iv) casos de reincidência; (v) o grau do dano causado pelo infrator; (vi) a cooperação do infrator; e (vii) a adoção de política de boas práticas e governança, entre outros.
A Resolução prevê, ainda, que as infrações poderão ser classificadas como leves, médias e graves, a depender dos interesses e direitos fundamentais dos titulares afetados e de características do tratamento que ocasionou a violação, como o volume de dados tratados, se o tratamento envolveu dados pessoais sensíveis ou dados pessoais de crianças, adolescentes ou idosos, ou se o tratamento foi realizado com efeitos discriminatórios, ilícitos ou abusivos, entre outros.
Nesse sentido, a sanção de advertência poderá ser aplicada a infrações leves e médias, quando não for um caso de reincidência específica ou houver necessidade de imposição de medidas corretivas.
A infração de multa simples, por sua vez, será aplicada (i) quando o infrator não atender às medidas preventivas ou corretivas impostas dentro dos prazos estabelecidos; (ii) quando a infração for classificada como grave; ou (iii) se não for adequado aplicar outra sanção, levando em conta a natureza da infração, da atividade de tratamento ou dos dados pessoais.
Para a definição do valor-base da multa simples, a ANPD utilizará a metodologia descrita no Apêndice I da Resolução e levará em consideração (i) a classificação da infração; (ii) o faturamento do infrator no último exercício disponível anterior à aplicação da sanção; e (iii) o grau do dano causado pelo infrator.
Além disso, serão consideradas como circunstâncias agravantes para a definição do valor-base casos de reincidência e casos de descumprimento de medidas preventivas e de medidas corretivas.
Por outro lado, o valor-base da multa poderá ser reduzido caso sejam observadas circunstâncias atenuantes, como a cessação da infração antes da conclusão dos procedimentos administrativos pela ANPD, a implementação de política de boas práticas e de governança ou a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar os danos aos titulares até que seja proferida decisão de primeira instância no âmbito do processo administrativo sancionador.
A Resolução prevê, ainda, que a sanção de multa diária será aplicada pela ANPD quando for necessária para assegurar o cumprimento de uma sanção não pecuniária ou de uma determinação estabelecida pela ANPD em prazo certo, observados a classificação da infração, o grau do dano e o limite de até 2% (dois por cento) do faturamento do infrator, limitado a R$ 50.000.000,00 (cinquenta milhões de reais).
Com relação à proibição parcial ou total do exercício de atividades relacionadas ao tratamento de dados pessoais, a sanção poderá ser aplicada quando (i) houver reincidência em infração punida com suspensão parcial do funcionamento do banco de dados ou suspensão do exercício da atividade de tratamento dos dados pessoais; (ii) ocorrer tratamento de dados pessoais com fins ilícitos ou sem uma base legal apropriada; ou (iii) o infrator perder ou não atender as condições técnicas e operacionais para manter o adequado tratamento de dados pessoais.
As demais sanções administrativas previstas pela LGPD, como publicização da infração, bloqueio ou eliminação dos dados pessoais e suspensão do exercício de atividade de tratamento dos dados pessoais poderão ser aplicadas pela ANPD de acordo com as características dos casos concretos.
Vale destacar que as disposições da Resolução se aplicam também aos processos administrativos que já estão em curso no âmbito da ANPD, razão pela qual as primeiras sanções deverão ser aplicadas em breve.
Por fim, além de proporcionar segurança jurídica aos processos sancionatórios e garantir o direito do agente de tratamento ao contraditório, à ampla defesa e ao devido processo legal, o Regulamento determina que deverá ser garantida proporcionalidade entre a sanção aplicada e a gravidade da conduta do agente.
Principais contatos:
Paula Mena Barreto
Sócia
E: paula.menabarreto@cmalaw.com
Ricardo Caiado Lima
Sócio
E: ricardo.caiado@cmalaw.com
Antonio Tovo
Sócio
E: antonio.tovo@cmalaw.com
Comentários