Autoridade Nacional de Proteção de Dados: regulamento de aplicação das sanções administrativas

A Autoridade Nacional de Proteção de Dados publicou, na última segunda (27/02/23), o regulamento da Dosimetria e Aplicação de Sanções Administrativas. Por se tratar da atuação sancionadora da ANPD, boa parte da sociedade civil aguardava a norma, pois, proporciona o devido reforço à atuação fiscalizatória da Autoridade. A LGPD criou um marco regulatório no país para uso de dados pessoais pelo qual essas informações devem ser tratadas apenas para fins lícitos, específicos e claramente definidos. O texto de lei se aplica ao tratamento de dados feito por pessoa física ou jurídica, pública ou privada desde que realize o tratamento de dados pessoais com fins lucrativos. Desde que a LGPD entrou em vigor, em setembro de 2020, a ANPD já recebeu mais de 7.000 (sete mil) denúncias relacionadas a infrações tipificadas na LGPD, segundo o presidente da autarquia, Waldemar Gonçalves. Atualmente, há 3 (três) canais disponibilizados pela ANPD ao público geral, estes sendo: Petição do titular de dados, Denúncia de infração, que pode ocorrer de forma anonimizada e, Comunicação de Incidente de Segurança pelo agente de tratamento. A partir da publicação da Resolução CD/ANPD nº 4, a ANPD, poderá impor as sanções administrativas previstas em lei, com base em requisitos claros e estabelecidos, bem como em caso de multa, o cálculo apropriado, observado o respectivo processo administrativo, com garantia à ampla defesa e ao contraditório. A Dosimetria é o método que orienta a escolha da sanção mais apropriada para cada caso concreto em que houver violação à LGPD e permite calcular, quando cabível, o valor da multa aplicável ao infrator. O Regulamento estabelece as circunstâncias, as condições e os métodos de aplicação das sanções, considerando, dentre outros aspectos, o dano ou o prejuízo causado aos titulares de dados pelo descumprimento à LGPD. Além disso, também estabelece diversas definições, como grupo ou conglomerado de empresas, infração permanente, políticas de boas práticas e de governança, reincidência específica e genérica, bem como a classificação das infrações em leve, média ou grave, conforme a gravidade e a natureza, além dos direitos pessoais afetados. São classificadas como média quando impactar interesses e direitos fundamentais dos titulares, bem como ocasionar danos materiais ou morais a eles, a exemplo, em casos de discriminação, violação à integridade física e ao direito de imagem, fraudes financeiras ou uso indevido de identidade. Será considerado infração de natureza grave, quando constituir obstrução à atividade de fiscalização ou afetar os titulares do mesmo jeito que na infração média porém,  cumulativamente envolver tratamento em larga escala; ou o infrator auferir ou pretender auferir vantagem econômica; ou implicar risco à vida dos titulares; ou envolver tratamento de dados sensíveis ou de crianças, adolescentes ou idosos; ou o tratamento ter sido realizado sem amparo em uma base legal; ou tratamento tiver efeitos discriminatórios ilícitos ou abusivos; ou verificada a adoção sistemática de práticas irregulares. As sanções já estavam discriminadas na LGPD, que podem variar de uma simples advertência, multa simples de até 2% (dois por cento) do faturamento bruto anual limitada a 50 milhões por infração, multa diária, publicização da infração, bloqueio dos dados pessoais, eliminação dos dados pessoais, suspensão parcial ou proibição parcial ou total do funcionamento do banco de dados ou do exercício da atividade de tratamento dos dados. As sanções serão aplicadas depois de um processo administrativo mediante decisão fundamentada da ANPD, de forma gradativa, isolada ou cumulativamente, de acordo com as peculiaridades do caso concreto, assegurado a direito à ampla defesa, ao contraditório e ao devido processo legal, no qual serão levados em consideração: gravidade e natureza das infrações e dos direitos pessoais afetados; boa-fé do infrator; vantagem auferida ou pretendida pelo infrator; condição econômica do infrator; reincidência; grau do dano; cooperação do infrator; adoção de mecanismos e procedimentos internos capazes de minimizar o dano; adoção de política de boas práticas e governança; pronta adoção de medidas corretivas; e proporcionalidade entre a gravidade da falta e a intensidade da sanção. Ainda, a aplicação de uma sanção administrativa não exclui a possibilidade de adoção de outras medidas administrativas pela ANPD. Caso a empresa não cumpra com a sanção aplicada ou em razão de não regularização da conduta no prazo estipulado, haverá a progressão da atuação da ANPD para a aplicação de sanções mais graves. O pagamento da multa será realizado no prazo de 20 (vinte) dias úteis contados a partir da ciência oficial da decisão de aplicação da sanção. Conforme Resolução CD/ANPD nº 2, os agentes de tratamento, estes sendo o controlador ou operador de pequeno porte, terão prazo em dobro para pagamento das multas previstas. Caso a empresa não cumpra com o pagamento, será acrescido os encargos de juros de mora contados do primeiro dia do mês subsequente ao do vencimento, bem como de multa moratória de 0,33% (trinta e três centésimos por cento) por dia de atraso, até o limite de 20% (vinte por cento) até o dia em que ocorrer o seu pagamento. Foi previsto para o infrator que, durante o processo administrativo, vir a renunciar expressamente ao direito de recorrer da decisão de primeira instância, fará jus a redução de 25% (vinte e cinco por cento) no valor da multa aplicada, desde que faça o recolhimento no prazo para pagamento estipulado. No Apêndice I é estabelecida a metodologia para aplicação de sanção de multa. Em caso de multa, para realizar o cálculo do valor da multa será analisado o valor-base da multa, bem como levado em conta os agravantes e atenuantes. O valor-base da multa é calculado pela multiplicação da alíquota-base pelo faturamento anual bruto, excluído os tributos. No apêndice II são estabelecidos os valores mínimos de multa simples para casos em que o infrator é pessoa física ou pessoa jurídica sem faturamento, de acordo com a classificação da infração, que varia de R$1.000,00 a R$4.000,00. Da mesma forma, estabelece os valores mínimos para as pessoas jurídicas com faturamento, grupo ou conglomerado de empresas no Brasil, que varia entre R$3.000,00 a R$12.000,00, conforme a classificação da infração. O Regulamento entra em vigor imediatamente após a sua publicação, e com isso, o cidadão passa a ter cada vez mais garantia da proteção do seu dado pessoal, que também é um direito fundamental previsto em nossa Constituição, e, portanto, as empresas e pessoas físicas que tratam dados com fins lucrativos deverão estar alinhados as diretrizes previstas em lei, adotando medidas de boas práticas e de Governança, sob pena de ser autuada e responsabilizada. Em razão do exposto, as organizações que ainda não estão adequadas às diretrizes previstas em lei, devem disseminar a cultura em proteção de dados internamente, bem como estabelecer as condições de organização, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais.

*Advogada, especialista em Direito Digital. LLM em Direito Empresarial. Membro da ANPPD (Associação Nacional dos Profissionais de Privacidade de Dados). Membro da Comissão de Direito das Startups da OAB/PE e de Proteção de Dados da OAB/PE. Membro da ANADD (Associação Nacional de Advogados do Direito Digital) – Comitê de Relações Trabalhistas no Digital. Possui Certificação PDPE Essentials (Especialização em LGPD) pela EXIN. Certificada DPO pela It.Certs.