ANPD Regula a Aplicação de Sanções Administrativas

05.03.2023 – A Autoridade Nacional de Proteção de Dados (ANPD) finalmente publicou em 27 de fevereiro de 2023 o Regulamento de Dosimetria e Aplicação de Sanções Administrativas, que passou a estabelecer as diretrizes utilizadas na dosimetria das penas, especialmente para o cálculo do valor-base das sanções de multa, a serem atribuídas por aquela agência, sob a iniciativa do relator e diretor da ANPD – Arthur Sabbat, no que foi acompanhado de forma unânime pelo restante do colegiado. Embora os critérios expostos abaixo estabeleçam diretrizes claras, a ANPD poderá afastar a sua metodologia ou substituir a pena, caso seja constatado prejuízo à proporcionalidade entre a gravidade da infração e a intensidade da sanção.

As sanções administrativas a serem aplicadas pela ANPD, em razão de violação à Lei Geral de Proteção de Dados (LGPD), dividem-se em:

Tipos de Sanções Administrativas	Hipóteses Cabíveis
1. Advertência	1. A infração for leve ou média e não caracterizar reincidência específica, ou 2. Houver necessidade de imposição de medidas corretivas.
2. Multa Simples	1. O infrator não tenha atendido as medidas preventivas ou corretivas a ele impostas, dentro dos prazos estabelecidos, quando aplicável; 2. A infração for classificada como grave; ou 3. Pela natureza da infração, da atividade de tratamento ou dos dados pessoais, e pelas circunstâncias do caso concreto, não for adequado aplicar outra sanção.
3. Multa Diária (aplicada de forma acumulada, até R$ 50 milhões)	1. Após notificado do cometimento de irregularidades que tenham sido praticadas, deixar de saná-las no prazo assinalado; 2. Praticar obstrução à atividade de fiscalização, desde que a aplicação da multa diária seja necessária para desobstrui-la; ou 3. Praticar infração permanente não cessada até a decisão.
4. Publicização da Infração	A ANPD poderá aplicar ao infrator a sanção de publicização, considerando a relevância e o interesse público da matéria.
5. Bloqueio dos Dados Pessoais a que se refere a Infração, até sua Regularização	A ANPD poderá aplicar ao infrator a sanção de bloqueio dos dados pessoais.
6. Eliminação dos Dados Pessoais a que se refere a Infração	A ANPD poderá aplicar ao infrator a sanção de eliminação dos dados pessoais a que se refere a infração, que consiste na exclusão de dado ou de conjunto de dados armazenados em banco de dados.
7. Suspensão Parcial do Banco de Dados a que se refere a Infração	A ANPD poderá aplicar ao infrator a sanção de suspensão parcial do funcionamento do banco de dados a que se refere a infração, pelo prazo máximo de 6 (seis) meses (sendo considerado o interesse público, o impacto aos direitos dos titulares de dados pessoais, a classificação da infração e a complexidade para regularização da atividade de tratamento pelo infrator), com o fim de suspender o funcionamento de banco de dados em desacordo com a legislação de proteção de dados pessoais.
8. Suspensão do Exercício da Atividade de Tratamento dos Dados Pessoais	A ANPD poderá aplicar ao infrator a sanção de suspensão do exercício de atividade de tratamento dos dados pessoais, aplicável pelo pelo período máximo de 6 (seis) meses (sendo considerado o interesse público, o impacto aos direitos dos titulares de dados pessoais e a classificação da infração), prorrogável por igual período.
9. Proibição Parcial ou Total do Exercício de Atividades relacionadas a Tratamento de Dados	1. Houver reincidência em infração punida com suspensão parcial do funcionamento do banco de dados ou suspensão do exercício da atividade de tratamento dos dados pessoais; 2. Ocorrer tratamento de dados pessoais com fins ilícitos, ou sem amparo em hipótese legal; ou 3. O infrator perder ou não atender as condições técnicas e operacionais para manter o adequado tratamento de dados pessoais.

É importante salientar que todas as penalidades somente serão aplicadas de forma gradativa, isolada ou cumulativamente, após procedimento administrativo, mediante decisão fundamentada da ANPD, sendo assegurado o direito à ampla defesa, ao contraditório e ao devido processo legal; sendo certo que se houver pluralidade de infratores, a aplicação das penas será feita sempre de forma individualizada.

O descumprimento pela parte violadora, ensejará à ANPD a adoção de sanções mais graves, sem prejuízo de medidas legais cabíveis, já que as sanções são aplicadas em âmbito administrativo.

Os seguintes parâmetros e critérios devem ser levados em consideração na definição da sanção:

Parâmetros e Critérios
1. a gravidade e a natureza das infrações e dos direitos pessoais afetados
2. a boa-fé do infrator
3. a vantagem auferida ou pretendida pelo infrator
4. a condição econômica do infrator
5. a reincidência específica
6. a reincidência genérica
7. o grau do dano
8. a cooperação do infrator
9. a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados, em consonância com a LGPD
10. a adoção de política de boas práticas e governança
11. a pronta adoção de medidas corretivas
12. a proporcionalidade entre a gravidade da falta e a intensidade da sanção

As infrações são classificadas, segundo a sua natureza e gravidade, em leves, médias ou graves, consoante os conceitos abaixo:

Classificação das Infrações	Definição
Infrações Graves	1. quando apresentarem qualquer característica das infrações médias e, ao menos, uma das características abaixo: a) envolver tratamento de dados pessoais em larga escala, caracterizado quando abranger número significativo de titulares, considerando-se, ainda, o volume de dados envolvidos, bem como a duração, a frequência e a extensão geográfica do tratamento realizado; b) o infrator auferir ou pretender auferir vantagem econômica em decorrência da infração cometida; c) a infração implicar risco à vida dos titulares; d) a infração envolver tratamento de dados sensíveis ou de dados pessoais de crianças, de adolescentes ou de idosos; e) o infrator realizar tratamento de dados pessoais sem amparo em uma das hipóteses legais previstas na LGPD; f) o infrator realizar tratamento com efeitos discriminatórios ilícitos ou abusivos; ou g) verificada a adoção sistemática de práticas irregulares pelo infrator; 2. quando constituirem obstrução à atividade de fiscalização.
Infrações Médias	quando puderem afetar significativamente interesses e direitos fundamentais dos titulares de dados pessoais, caracterizada nas situações em que a atividade de tratamento puder impedir ou limitar, de maneira significativa, o exercício de direitos ou a utilização de um serviço, assim como ocasionar danos materiais ou morais aos titulares, tais como discriminação; violação à integridade física; ao direito à imagem e à reputação; fraudes financeiras ou uso indevido de identidade, desde que não seja classificada como grave.
Infrações Leves	quando não tiverem quaisquer das características citadas acima.

Merece destaque a definição do valor-base da multa simples, quando deverão ser considerados os seguintes elementos:

Elementos para a Definição do Valor-Base de Multa
1. a classificação da infração;
2. o faturamento do infrator no último exercício disponível anterior à aplicação da sanção, excluídos os tributos, relativo ao ramo de atividade empresarial em que ocorreu a infração; e
3. o grau do dano.

A definição do valor-base de Multa será acrescido ou reduzido de acordo com as circunstâncias agravantes ou atenuantes abaixo descritas, resguardados os limites mínimos e máximos previstos às sanções na LGPD. Comecemos pelas circunstâncias agravantes:

Circunstâncias Agravantes	Percentual de Acréscimo
Reincidência Específica	10% (dez por cento) até o limite de 40% (quarenta por cento)
Reincidência Genérica	5% (cinco por cento) até o limite de 20% (vinte por cento)
Cada medida de orientação ou preventiva descumprida no processo de fiscalização ou do procedimento preparatório que precedeu o processo administrativo sancionador	20% (vinte por cento) até o limite de 80% (oitenta por cento)
Cada medida corretiva descumprida	30% (trinta por cento) até o limite de 90% (noventa por cento)

Agora passamos às circunstâncias atenuantes:

Circunstâncias Atenuantes	Percentual de Redução
Casos de Cessação da Infração	a) 75% (setenta e cinco por cento), se previamente à instauração de procedimento preparatório pela ANPD; b) 50% (cinquenta por cento), se após a instauração de procedimento preparatório e até a instauração de processo administrativo sancionador; ou c) 30% (trinta por cento), se após a instauração de processo administrativo sancionador e até a prolação da decisão de primeira instância no âmbito do processo administrativo sancionador;
Casos de implementação de política de boas práticas e de governança ou de adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar os danos aos titulares, voltados ao tratamento seguro e adequado de dados, até a prolação da decisão de primeira instância no âmbito do processo administrativo sancionador	20% (vinte por cento)
Casos em que o infrator tenha comprovado a implementação de medidas capazes de reverter ou mitigar os efeitos da infração sobre os titulares de dados pessoais afetados	a) 20% (vinte por cento), previamente à instauração de procedimento preparatório ou processo administrativo sancionador pela ANPD; ou b) 10% (dez por cento), se após a instauração de procedimento preparatório e até a instauração de processo administrativo sancionador.
Casos em que se verifique a cooperação ou boa-fé por parte do infrator.	5% (cinco por cento)

Trata-se, portanto, de uma iniciativa louvável por parte da ANPD de tentar mitigar a subjetividade na aplicação das sanções administrativas a serem impostas por aquela agência, quando houver a necessidade de penalizar alguma violação à proteção de dados pessoais de algum titular.