05.03.2023 – A Autoridade Nacional de Proteção de Dados (ANPD) finalmente publicou em 27 de fevereiro de 2023 o Regulamento de Dosimetria e Aplicação de Sanções Administrativas, que passou a estabelecer as diretrizes utilizadas na dosimetria das penas, especialmente para o cálculo do valor-base das sanções de multa, a serem atribuídas por aquela agência, sob a iniciativa do relator e diretor da ANPD – Arthur Sabbat, no que foi acompanhado de forma unânime pelo restante do colegiado. Embora os critérios expostos abaixo estabeleçam diretrizes claras, a ANPD poderá afastar a sua metodologia ou substituir a pena, caso seja constatado prejuízo à proporcionalidade entre a gravidade da infração e a intensidade da sanção.
As sanções administrativas a serem aplicadas pela ANPD, em razão de violação à Lei Geral de Proteção de Dados (LGPD), dividem-se em:
| Tipos de Sanções Administrativas | Hipóteses Cabíveis |
|---|---|
| 1. Advertência | 1. A infração for leve ou média e não caracterizar reincidência específica, ou 2. Houver necessidade de imposição de medidas corretivas. |
| 2. Multa Simples | 1. O infrator não tenha atendido as medidas preventivas ou corretivas a ele impostas, dentro dos prazos estabelecidos, quando aplicável; 2. A infração for classificada como grave; ou 3. Pela natureza da infração, da atividade de tratamento ou dos dados pessoais, e pelas circunstâncias do caso concreto, não for adequado aplicar outra sanção. |
| 3. Multa Diária (aplicada de forma acumulada, até R$ 50 milhões) | 1. Após notificado do cometimento de irregularidades que tenham sido praticadas, deixar de saná-las no prazo assinalado; 2. Praticar obstrução à atividade de fiscalização, desde que a aplicação da multa diária seja necessária para desobstrui-la; ou 3. Praticar infração permanente não cessada até a decisão. |
| 4. Publicização da Infração | A ANPD poderá aplicar ao infrator a sanção de publicização, considerando a relevância e o interesse público da matéria. |
| 5. Bloqueio dos Dados Pessoais a que se refere a Infração, até sua Regularização | A ANPD poderá aplicar ao infrator a sanção de bloqueio dos dados pessoais. |
| 6. Eliminação dos Dados Pessoais a que se refere a Infração | A ANPD poderá aplicar ao infrator a sanção de eliminação dos dados pessoais a que se refere a infração, que consiste na exclusão de dado ou de conjunto de dados armazenados em banco de dados. |
| 7. Suspensão Parcial do Banco de Dados a que se refere a Infração | A ANPD poderá aplicar ao infrator a sanção de suspensão parcial do funcionamento do banco de dados a que se refere a infração, pelo prazo máximo de 6 (seis) meses (sendo considerado o interesse público, o impacto aos direitos dos titulares de dados pessoais, a classificação da infração e a complexidade para regularização da atividade de tratamento pelo infrator), com o fim de suspender o funcionamento de banco de dados em desacordo com a legislação de proteção de dados pessoais. |
| 8. Suspensão do Exercício da Atividade de Tratamento dos Dados Pessoais | A ANPD poderá aplicar ao infrator a sanção de suspensão do exercício de atividade de tratamento dos dados pessoais, aplicável pelo pelo período máximo de 6 (seis) meses (sendo considerado o interesse público, o impacto aos direitos dos titulares de dados pessoais e a classificação da infração), prorrogável por igual período. |
| 9. Proibição Parcial ou Total do Exercício de Atividades relacionadas a Tratamento de Dados | 1. Houver reincidência em infração punida com suspensão parcial do funcionamento do banco de dados ou suspensão do exercício da atividade de tratamento dos dados pessoais; 2. Ocorrer tratamento de dados pessoais com fins ilícitos, ou sem amparo em hipótese legal; ou 3. O infrator perder ou não atender as condições técnicas e operacionais para manter o adequado tratamento de dados pessoais. |
É importante salientar que todas as penalidades somente serão aplicadas de forma gradativa, isolada ou cumulativamente, após procedimento administrativo, mediante decisão fundamentada da ANPD, sendo assegurado o direito à ampla defesa, ao contraditório e ao devido processo legal; sendo certo que se houver pluralidade de infratores, a aplicação das penas será feita sempre de forma individualizada.
O descumprimento pela parte violadora, ensejará à ANPD a adoção de sanções mais graves, sem prejuízo de medidas legais cabíveis, já que as sanções são aplicadas em âmbito administrativo.
Os seguintes parâmetros e critérios devem ser levados em consideração na definição da sanção:
| Parâmetros e Critérios |
|---|
| 1. a gravidade e a natureza das infrações e dos direitos pessoais afetados |
| 2. a boa-fé do infrator |
| 3. a vantagem auferida ou pretendida pelo infrator |
| 4. a condição econômica do infrator |
| 5. a reincidência específica |
| 6. a reincidência genérica |
| 7. o grau do dano |
| 8. a cooperação do infrator |
| 9. a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados, em consonância com a LGPD |
| 10. a adoção de política de boas práticas e governança |
| 11. a pronta adoção de medidas corretivas |
| 12. a proporcionalidade entre a gravidade da falta e a intensidade da sanção |
As infrações são classificadas, segundo a sua natureza e gravidade, em leves, médias ou graves, consoante os conceitos abaixo:
| Classificação das Infrações | Definição |
|---|---|
| Infrações Graves | 1. quando apresentarem qualquer característica das infrações médias e, ao menos, uma das características abaixo: a) envolver tratamento de dados pessoais em larga escala, caracterizado quando abranger número significativo de titulares, considerando-se, ainda, o volume de dados envolvidos, bem como a duração, a frequência e a extensão geográfica do tratamento realizado; b) o infrator auferir ou pretender auferir vantagem econômica em decorrência da infração cometida; c) a infração implicar risco à vida dos titulares; d) a infração envolver tratamento de dados sensíveis ou de dados pessoais de crianças, de adolescentes ou de idosos; e) o infrator realizar tratamento de dados pessoais sem amparo em uma das hipóteses legais previstas na LGPD; f) o infrator realizar tratamento com efeitos discriminatórios ilícitos ou abusivos; ou g) verificada a adoção sistemática de práticas irregulares pelo infrator; 2. quando constituirem obstrução à atividade de fiscalização. |
| Infrações Médias | quando puderem afetar significativamente interesses e direitos fundamentais dos titulares de dados pessoais, caracterizada nas situações em que a atividade de tratamento puder impedir ou limitar, de maneira significativa, o exercício de direitos ou a utilização de um serviço, assim como ocasionar danos materiais ou morais aos titulares, tais como discriminação; violação à integridade física; ao direito à imagem e à reputação; fraudes financeiras ou uso indevido de identidade, desde que não seja classificada como grave. |
| Infrações Leves | quando não tiverem quaisquer das características citadas acima. |
Merece destaque a definição do valor-base da multa simples, quando deverão ser considerados os seguintes elementos:
| Elementos para a Definição do Valor-Base de Multa |
|---|
| 1. a classificação da infração; |
| 2. o faturamento do infrator no último exercício disponível anterior à aplicação da sanção, excluídos os tributos, relativo ao ramo de atividade empresarial em que ocorreu a infração; e |
| 3. o grau do dano. |
A definição do valor-base de Multa será acrescido ou reduzido de acordo com as circunstâncias agravantes ou atenuantes abaixo descritas, resguardados os limites mínimos e máximos previstos às sanções na LGPD. Comecemos pelas circunstâncias agravantes:
| Circunstâncias Agravantes | Percentual de Acréscimo |
|---|---|
| Reincidência Específica | 10% (dez por cento) até o limite de 40% (quarenta por cento) |
| Reincidência Genérica | 5% (cinco por cento) até o limite de 20% (vinte por cento) |
| Cada medida de orientação ou preventiva descumprida no processo de fiscalização ou do procedimento preparatório que precedeu o processo administrativo sancionador | 20% (vinte por cento) até o limite de 80% (oitenta por cento) |
| Cada medida corretiva descumprida | 30% (trinta por cento) até o limite de 90% (noventa por cento) |
Agora passamos às circunstâncias atenuantes:
| Circunstâncias Atenuantes | Percentual de Redução |
|---|---|
| Casos de Cessação da Infração | a) 75% (setenta e cinco por cento), se previamente à instauração de procedimento preparatório pela ANPD; b) 50% (cinquenta por cento), se após a instauração de procedimento preparatório e até a instauração de processo administrativo sancionador; ou c) 30% (trinta por cento), se após a instauração de processo administrativo sancionador e até a prolação da decisão de primeira instância no âmbito do processo administrativo sancionador; |
| Casos de implementação de política de boas práticas e de governança ou de adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar os danos aos titulares, voltados ao tratamento seguro e adequado de dados, até a prolação da decisão de primeira instância no âmbito do processo administrativo sancionador | 20% (vinte por cento) |
| Casos em que o infrator tenha comprovado a implementação de medidas capazes de reverter ou mitigar os efeitos da infração sobre os titulares de dados pessoais afetados | a) 20% (vinte por cento), previamente à instauração de procedimento preparatório ou processo administrativo sancionador pela ANPD; ou b) 10% (dez por cento), se após a instauração de procedimento preparatório e até a instauração de processo administrativo sancionador. |
| Casos em que se verifique a cooperação ou boa-fé por parte do infrator. | 5% (cinco por cento) |
Trata-se, portanto, de uma iniciativa louvável por parte da ANPD de tentar mitigar a subjetividade na aplicação das sanções administrativas a serem impostas por aquela agência, quando houver a necessidade de penalizar alguma violação à proteção de dados pessoais de algum titular.
Post Disclaimer
A informação contida nesse site pode ser copiada ou reproduzida, sem necessidade de consentimento prévio do autor. Quando possível, o autor solicita a colaboração em citar a fonte dos dados.
