Na segunda-feira, 27 de fevereiro de 2023, a Autoridade Nacional de Proteção de Dados (ANPD) publicou a Resolução CD/ANPD nº 4 que aprova o Regulamento de Dosimetria e Aplicação de Sanções Administrativas, passando a valer imediatamente, aplicando-se também aos processos administrativos já em curso antes de sua publicação.
A elaboração de um Regulamento para direcionar a matéria estava prevista no artigo 53 da Lei Geral de Proteção de Dados (LGPD), sendo um requisito para a aplicação de multas pela Autoridade aos agentes de tratamento.
O Regulamento, portanto, visa estabelecer os parâmetros e critérios para a aplicação das sanções previstas no artigo 52 da LGPD, além de esclarecer de que maneira serão calculadas as sanções pecuniárias (multas), considerando, entre outros aspectos, o dano ou o prejuízo causado aos titulares de dados pessoais pelo descumprimento à LGPD e/ou aos regulamentos expedidos pela ANPD.
As sanções previstas na LGPD são:
a) Advertência;
b) Multa simples, de até 2% (dois por cento) do faturamento da empresa, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais), por infração;
c) Multa diária, com limite total de R$ 50.000.000,00 (cinquenta milhões de reais);
d) Publicização da infração;
e) Bloqueio dos dados pessoais;
f) Eliminação dos dados pessoais;
g) Suspensão parcial do funcionamento do banco de dados por no máximo de 6 (seis) meses, prorrogável por igual período, até que se regularize a situação;
h) Suspensão do exercício da atividade de tratamento dos dados pessoais por no máximo de 6 (seis) meses, prorrogável por igual período;
i) Proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
As sanções de suspensão e proibição, no entanto, só serão aplicadas aos agentes de tratamento se já tiverem sido impostas ao menos uma das demais sanções previstas anteriormente (advertência, multa, publicização da infração, bloqueio e/ou eliminação dos dados pessoas). Além disso, com exceção das multas, todas as demais sanções poderão ser aplicadas ao Poder Público.
Todas as sanções serão aplicadas pela Autoridade após a análise do caso concreto em sede de processo administrativo (assegurado o direito de contraditório e ampla defesa ao agente de tratamento), de acordo com suas peculiaridades e conforme os seguintes critérios, que poderão atenuar (diminuir) ou agravar (aumentar) a penalidade:
a) Gravidade e natureza das infrações e dos direitos pessoais afetados;
b) Boa-fé do infrator;
c) Vantagem auferida ou pretendida pelo infrator;
d) Condição econômica do infrator;
e) Reincidência;
f) Grau do dano;
g) Cooperação do infrator;
h) Adoção de mecanismos e procedimentos internos capazes de minimizar o dano;
i) Adoção de política de boas práticas e governança;
j) Pronta adoção de medidas corretivas; e
k) Proporcionalidade entre a gravidade da falta e a intensidade da sanção.
As infrações serão classificadas segundo a sua gravidade e natureza, além dos direitos pessoais afetados, em três níveis:
I – leve: quando a infração não se enquadrar em “média” ou “grave”;
II – média: quando a infração puder afetar significativamente interesses e direitos fundamentais dos titulares de dados pessoais, caracterizada nas situações em que a atividade de tratamento puder impedir ou limitar, de maneira significativa, o exercício de direitos ou a utilização de um serviço, assim como ocasionar danos materiais ou morais aos titulares
III – grave: quando constituir obstrução à atividade de fiscalização ou quando a infração puder causar os mesmos prejuízos de uma infração “média” e, cumulativamente, atingir ao menos uma das hipóteses abaixo:
a) envolver tratamento de dados pessoais em larga escala, caracterizado quando abranger número significativo de titulares, considerando-se, ainda, o volume de dados envolvidos, bem como a duração, a frequência e a extensão geográfica do tratamento realizado;
b) o infrator auferir ou pretender auferir vantagem econômica em decorrência da infração cometida;
c) a infração implicar risco à vida dos titulares;
d) a infração envolver tratamento de dados sensíveis ou de dados pessoais de crianças, de adolescentes ou de idosos;
e) o infrator realizar tratamento de dados pessoais sem amparo em uma das hipóteses legais previstas na LGPD;
f) o infrator realizar tratamento com efeitos discriminatórios ilícitos ou abusivos; ou
g) verificada a adoção sistemática de práticas irregulares pelo infrator.
Para o cálculo das penalidades de multa serão considerados os seguintes elementos: (a) a classificação da infração (leve, média ou grave), (b) o faturamento do agente de tratamento infrator no último exercício disponível anterior à aplicação da sanção, e (c) o grau do dano. As sanções de multa deverão ser pagas no prazo de até 20 (vinte) dias úteis, contados a partir da ciência oficial da decisão de aplicação de sanção, exceto aos agentes de tratamento de pequeno porte, hipótese em que será concedido prazo em dobro para o pagamento.
Por fim, a depender das circunstâncias de cada caso, a ANPD poderá aplicar as sanções de forma gradativa, isolada ou cumulativa. Além disso, a Autoridade poderá conferir um prazo para a manifestação de órgão regulador setorial que tenha competência sancionatória contra o agente de tratamento infrator.
É importante ressaltar que a aplicação de sanção não exclui a possibilidade de adoção de outras medidas administrativas pela ANPD a fim de garantir a conformidade do agente de tratamento infrator à legislação de proteção de dados pessoais.
A equipe da área de Privacidade & Proteção de Dados do Azevedo Sette Advogados está totalmente à disposição para esclarecimentos adicionais sobre o tema através do e-mail tmtconsultivo@azevedosette.com.br.