3/3/2023
A Autoridade Nacional de Proteção de Dados (“ANPD”) publicou em 27/02/2023 a Resolução nº 4/2023 com entrada em vigor na mesma data, cujo conteúdo é o Regulamento de Dosimetria e Aplicação de Sanções Administrativas, que estabelece as regras para o processo fiscalizatório e sancionador da Autoridade no que diz respeito à aplicação das sanções no pilar das ações de repressão ao descumprimento às regras da Lei Geral de Proteção de Dados (LGPD).
Em uma recente entrevista ao jornal Valor Econômico, a sócia Esther Jerussalmy Cunha comentou sobre os principais pontos da norma, que tem repercutido e chamado a atenção do mercado.
É importante notar que além das ações repressivas, outras atuações são previstas para atuação da ANPD como medidas de monitoramento, orientação e prevenção.
Em resumo, a “norma de dosimetria” da ANPD, como vem sendo chamada, em seus artigos: (i) estabelece os critérios para as sanções pecuniárias e a dosimetria para o cálculo do valor-base das multas (artigos 52 e 53 LGPD) e (ii) aprimora o seu processo administrativo sancionador e de fiscalização (alteração dos artigos 32, 55 e 62 da Resolução nº 01 CD/ANPD).
O Regulamento foi elaborado com ajuda da sociedade civil, através da consulta pública realizada em 2022, que recebeu 2.504 contribuições, além da realização de uma audiência pública. Para a elaboração da norma foi considerado o critério de valoração da infração, ou seja, o que conta para a ANPD é a análise no caso concreto do impacto da infração ao titular de dados e não a tipificação. De acordo com essa lógica, quanto maior for dano, maior será a sanção.
A nossa equipe de Privacidade e Proteção de Dados destacou os principais pontos da norma de dosimetria. Confira a seguir:
Importância das medidas preventivas pelos agentes de tratamento
De acordo com o novo Regulamento, a Autoridade reforça sua lógica responsiva – orientar, prevenir e sancionar – quando valoriza que a adoção ativa pelos agentes de tratamento de certas medidas serão consideradas circunstâncias atenuantes e não ensejarão a progressão da atuação da ANPD para adoção das medidas repressivas. Dentre estas circunstâncias atenuantes estão:
O Regulamento destaca também as seguintes medidas preventivas a serem adotadas pelo agente de tratamento e que cujo não atendimento enseja a progressão da atuação da ANPD para adoção de outras medidas preventivas ou a atuação repressiva:
Além disso, a não adoção destas medidas preventivas pelos agentes de tratamento será considerado circunstância agravante durante um eventual processo administrativo sancionador.
Quais são as sanções administrativas que podem ser aplicadas e como?
O agente de tratamento que comete uma infração (“infrator”) está sujeito às seguintes sanções administrativas:
Conforme o Regulamento, a aplicação das sanções mais severas – as quais suspendem parcial ou totalmente o tratamento de dados pessoais (itens de VII, VIII e IX acima) – só é cabível após já ter sido imposta ao menos uma das sanções (em tese) menos gravosas. Além disso, as sanções serão aplicadas após o processo administrativo, mediante decisão fundamentada da ANPD, assegurado o direito à ampla defesa, ao contraditório e ao devido processo legal. Por fim, a aplicação de sanção não exclui a possibilidade de adoção de outras medidas administrativas pela ANPD, como a solicitação de um Plano de Conformidade.
Quais critérios serão considerados pela ANPD para a aplicação das sanções?
Na determinação da sanção aplicável ao infrator ao caso concreto, a ANPD deve considerar:
Quais critérios serão considerados pela ANPD para classificar a infração?
Na determinação da classificação da infração aplicável ao infrator ao caso concreto, a ANPD deve considerar:
Leves: Todas as hipóteses que não se enquadram como infrações graves ou médias.
Médias: Todas as situações em que a atividade de tratamento de dados pessoais puder impedir ou limitar, de maneira significativa, o exercício de direitos ou a utilização de um serviço, assim como ocasionar danos materiais ou morais aos titulares, tais como discriminação; violação à integridade física; ao direito à imagem e à reputação; fraudes financeiras ou uso indevido de identidade.
Grave: A infração será considerada grave em duas situações:
I. Quando verificada pelo menos uma das situações previstas para infrações médias e que aconteça cumulativamente com pelo menos, uma das seguintes situações:
- envolver tratamento de dados pessoais em larga escala, caracterizado quando abranger número significativo de titulares, considerando-se, ainda, o volume de dados envolvidos, bem como a duração, a frequência e a extensão geográfica do tratamento realizado;
- o infrator auferir ou pretender auferir vantagem econômica em decorrência da infração cometida;
- a infração implicar risco à vida dos titulares;
- a infração envolver tratamento de dados sensíveis ou de dados pessoais de crianças, de adolescentes ou de idosos;
- o infrator realizar tratamento de dados pessoais sem amparo em uma das hipóteses legais previstas na LGPD;
- o infrator realizar tratamento com efeitos discriminatórios ilícitos ou abusivos; ou
- verificada a adoção sistemática de práticas irregulares pelo infrator.
II. Quando constituir obstrução à atividade de fiscalização da ANPD.
Nos casos em que a infração for leve ou média, a ANPD poderá aplicar a sanção de advertência.
Como serão quantificadas as multas pela ANPD?
Para determinar o valor-base da multa simples, a ANPD desenvolveu uma metodologia de cálculo que consiste em 4 etapas:
Por faturamento, de acordo com o Regulamento, entende-se o último exercício anterior à aplicação da sanção, excluídos os tributos de que trata o inciso III do § 1º do art. 12 do Decreto-Lei nº 1.598, de 26 de dezembro de 1977, além de outros requisitos norteadores estabelecidos na própria norma e baseadas na legislação tributária vigente, inclusive.
A ANPD poderá afastar a metodologia de dosimetria de sanção de multa ou substituir a aplicação de sanção por outra, nos casos em que for constatado prejuízo à proporcionalidade entre a gravidade da infração e a intensidade da sanção. Neste caso, o infrator deve ser capaz de demonstrar concretamente a desproporcionalidade da decisão e a necessidade de adequação da medida imposta.
Outra novidade é que a ANPD criou duas tabelas específicas para de multa simples para os casos em que o infrator é pessoa natural ou pessoal jurídica sem faturamento que vai da gradação leve, passando pela média e podendo alcançar o patamar de grave.
Conclusões
Além das multas simples e diárias, o regulamento prevê outras sanções que podem afetar material e moralmente as atividades dos agentes de tratamento infratores, como é o caso da publicização da infração, que consiste na divulgação da infração pelo próprio infrator. Trata-se de uma espécie de confissão de culpa ou pedido de retratação que pode expor o agente de tratamento no mercado comprometendo sua reputação. De outro modo, a transparência dos agentes de tratamento nestes casos pode também demonstrar a boa-fé em relação ao titular de dados.
Vale ressaltar que a ANPD iniciou a sua atuação desde a sua criação, adotando medidas orientativas, preventivas e, agora com a dosimetria, repressivas. Por essa razão, de acordo com a Autoridade, há pelo menos 8 processos sancionadores em curso que, com a publicação do Regulamento, podem resultar em multas ou outras sanções. De qualquer maneira, a ANPD se posiciona mais em favor da solução dos danos ao titular do dado do que na sanção dos agentes de tratamento por si só.
Tendo em vista o Regulamento, vale destacar três aspectos relevantes para os agentes de tratamento e eventuais infratores:
(i) as medidas preventivas;
(ii) o tempo de resposta e cessação da infração; e
(iii) a reincidência.
Isso porque as medidas preventivas (como o próprio nome sugere) antecipam eventuais riscos de infração e podem ser consideradas como boas práticas para fins de atenuar a sanção, assim como o tempo de resposta e cessação da infração. Por fim, a reincidência do infrator é um fator a ser considerado como agravante pela ANPD durante o cálculo da multa, além de representar para os titulares e para o mercado que o infrator não “aprendeu com os seus erros”.
Nossa equipe de Privacidade e Proteção de Dados está à disposição para esclarecer os aspectos e as dúvidas referentes a este e outros assuntos.
Coautoria de: Denise de Araujo Berzin Reupke e Ana Carolina Gontijo