Em 27 de fevereiro de 2023, foi publicada a Resolução CD/ANPD n. 4, de 24/02/23, que estabelece os parâmetros e critérios para a aplicação das sanções administrativas pela Autoridade Nacional de Proteção de Dados (ANPD). Nessa Resolução também foram estabelecidas as formas e como serão dosadas as penas para se calcular o valor-base da pena de multa.
O processo administrativo para identificação das penalidades é regulado pela Resolução CD/ANPD n. 1, de 28/10/21, que estabelece os procedimentos do processo de fiscalização e as regras a serem observadas no âmbito do processo administrativo sancionador pela ANPD.
AS PENALIDADES
De forma geral, quando uma penalidade for atribuída a algum agente de tratamento, há parâmetros e critérios que a ANPD deverá levar em consideração. São eles: i) a gravidade e a natureza das infrações e dos direitos pessoais afetados; ii) a boa-fé do infrator; iii) a vantagem auferida ou pretendida pelo infrator; iv) a condição econômica do infrator; v) a reincidência específica; vi) a reincidência genérica; vii) o grau do dano; viii) a cooperação do infrator; ix) a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados; x) a adoção de política de boas práticas e governança; xi) a pronta adoção de medidas corretivas; xii) a proporcionalidade entre a gravidade da falta e a intensidade da sanção.
Tanto o art. 52, da LGPD (Lei n. 13.709/18), quanto o art. 3º, da Resolução CD/ANPD n. 4, de 24/02/23, estabelecem quais são essas sanções administrativas que são aplicadas pela ANPD. São elas:
a) Advertência: quando a infração for leve, ou média e não se caracterizar reincidência específica, ou se houver necessidade de imposição de medidas corretivas, ou seja, às medidas determinadas pela ANPD para corrigir a infração e reconduzir o infrator à plena conformidade à LGPD e aos regulamentos expedidos pela ANPD.
Nessa situação, poderiam ser utilizadas como medidas aquelas previstas como medidas de orientação e prevenção previstas na Resolução CD/ANPD n. 1, de 28/10/21, tais como: elaboração e disponibilização de guias de boas práticas e de modelos de documentos para serem utilizados por agentes de tratamento; sugestão aos agentes regulados da realização de treinamentos e cursos; elaboração e disponibilização de ferramentas de autoavaliação de conformidade e de avaliação de riscos a serem utilizadas pelos agentes de tratamento; recomendação de utilização de padrões técnicos que facilitem o controle pelos titulares de seus dados pessoais; recomendação de implementação de Programa de Governança em Privacidade e recomendação de observância de códigos de conduta e de boas práticas estabelecidas por organismos de certificação ou outra entidade responsável; plano de conformidade, ou outras medidas não previstas, mas que sejam compatíveis com a infração.
b) Multa simples: essa penalidade será aplicada quando o infrator não tenha atendido às medidas preventivas ou corretivas impostas a ele nos prazos estabelecidos pela ANPD; ou quando a infração for classificada como grave, ou quando, pela natureza da infração, da atividade de tratamento ou dos dados pessoais e pelas circunstâncias do caso concreto, não for adequado aplicar outra sanção.
O valor-base dessa multa é identificado a partir da classificação da infração; do faturamento do infrator no último exercício disponível anterior à aplicação da sanção, excluídos os tributos incidentes sobre a receita bruta relativa ao ramo de atividade empresarial em que ocorreu a infração e o grau do dano, conforme consta no Apêndice I, da Resolução CD/ANPD n. 4, de 24/02/23, podendo variar o critério de faturamento, conforme o art. 11, parágrafo 1º, da mesma Resolução.
Se o infrator comprovar que não teve faturamento no último exercício anterior à aplicação da sanção, será considerado no valor-base do cálculo da multa simples, o valor do último faturamento apurado pelo infrator, com exclusão dos tributos, atualizado até o último dia do exercício anterior à aplicação da sanção, ou, na ausência deste critério, serão observaras as faixas de valores absolutos, em reais, conforme o Apêndice I, da Resolução.
A definição dos valores da multa serão variáveis, pois dependerão da identificação de circunstâncias que poderão agravar a pena, fazendo incidir um percentual maior sobre o valor fixado. Assim, em caso de reincidência específica, no mínimo 10% até o limite de 40%; ou no caso de reincidência genérica, com o mínimo de 5% e máximo de 20%; 20% para cada medida de orientação ou preventiva descumprida no processo de fiscalização ou do procedimento preparatório que precedeu o processo administrativo sancionador, até o limite de 80%; 30%, para cada medida corretiva descumprida, até o limite de 90%.
Se houver incidência da infração em mais de uma das situações acima, deverão ser somados os percentuais para efeitos de aplicação da pena.
Também poderá haver circunstâncias atenuantes, ou seja, que reduzirão a multa aplicada. Assim, são consideradas situações que diminuem a pena aplicada, cujos percentuais relativos a cada um dos fatores deverão ser somados na redução da penalidade:
i) nos casos de cessação da infração:
a) 75%, se previamente à instauração de procedimento preparatório pela ANPD;
b) 50%, se após a instauração de procedimento preparatório e até a instauração de processo administrativo sancionador e até a prolação da decisão de primeira instância no âmbito do processo administrativo sancionador;
ii) 20%, nos casos de implementação de política de boas práticas e de governança ou de adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar os danos aos titulares, voltados ao tratamento seguro e adequado de dados, até a prolação da decisão de primeira instância no âmbito do processo administrativo sancionador.
iii) nos casos em que o infrator tenha comprovado a implementação de medidas capazes de reverter ou mitigar os efeitos da infração sobre os titulares de dados pessoais afetados:
a) 20%, previamente à instauração de procedimento preparatório ou processo administrativo sancionador pela ANPD; ou
b) 10%, se após a instauração de procedimento preparatório e até a instauração de processo administrativo sancionador; e
iv) 5%, nos casos em que se verifique a cooperação ou boa-fé por parte do infrator.
O resultado da aplicação da pena-base, com a aplicação das agravantes e atenuantes:
a) não poderá ser inferior aos valores mínimos previstos no Apêndice II, da Resolução, que prevê os seguintes valores:
a.1) para os casos em que o infrator é pessoa natural ou pessoa jurídica SEM faturamento:
| GRADAÇÃO | VALOR |
| Leve | R$1.000,00 |
| Média | R$2.000,00 |
| Grave | R$4.000,00 |
a.2) valor mínimo de multa simples para infratores não enquadrados na situação anterior:
| GRADAÇÃO | VALOR |
| Leve | R$3.000,00 |
| Média | R$6.000,00 |
| Grave | R$12.000,00 |
Excetua-se essa situação nos casos em que a vantagem alcançada pelo infrator seja estimável/considerável, aplicando-se, no caso, o dobro da vantagem econômica que ele teve.
b) será limitado a 2% do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado de empresas no Brasil no seu último exercício, excluídos os tributos, ou a R$50.000.000,00.
O Apêndice 1, da Resolução, traz a fórmula e a metodologia para que a penalidade de multa seja aplicada, assim estabelecendo:
c) Multa diária: essa multa poderá ser aplicada pela ANPD quando for aplicada uma pena que não seja em dinheiro, ou de uma determinação estabelecida pela ANPD, quando o prazo para o cumprimento destas situações não for cumprido. Ela considerará o limite de até 2% do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$50.000.000,00; a classificação da infração e o grau do dano.
d) Publicização da infração, após devidamente apurada e confirmada a sua ocorrência: essa penalidade consiste na divulgação da infração pelo próprio infrator, às suas custas, após a apuração e confirmação de sua ocorrência. Será uma penalização que a ANPD poderá determinar, considerando a relevância e o interesse público da matéria.
e) Bloqueio dos dados pessoais a que se refere a infração, até a sua regularização: essa penalidade é uma suspensão temporária de qualquer operação de tratamento com os dados pessoais a que se refere a infração. Esses dados deverão ser guardados pelo infrator até a regularização por parte do infrator. Uma vez intimado dessa penalidade, o infrator deverá também comunicar imediatamente o bloqueio dos dados aos agentes de tratamento com os quais tenha realizado o uso compartilhado dos dados, para que eles também realizem essa suspensão, com exceção dos casos em que tal comunicação seja comprovadamente impossível, ou implique um esforço desproporcional, mediante avaliação das circunstâncias pela ANPD. Só após a regularização da conduta do infrator esses dados poderão ser desbloqueados, após a devida comprovação de tal regularização junto à ANPD.
f) Eliminação dos dados pessoais a que se refere a infração: essa penalidade consiste na exclusão de dado ou conjunto de dados armazenados em banco de dados. Essa pena também deverá ser comunicada imediatamente pelo infrator para os demais agentes de tratamento com os quais ele tenha compartilhado os dados, a fim de que eles também eliminem esses dados de suas bases, exceto nos casos em que tal comunicação seja comprovadamente impossível, ou implique um esforço desproporcional, mediante avaliação das circunstâncias pela ANPD.
g) Suspensão parcial do funcionamento do banco de dados a que se refere a infração: essa pena objetiva suspender o funcionamento de banco de dados que estiver em desacordo com a legislação de proteção de dados pessoais e será aplicada pelo período máximo de 6 meses, podendo ser prorrogada pelo mesmo período, até que seja regularizada a atividade de tratamento pelo controlador, conforme a complexidade para regularização e a classificação da infração. Para que seja restabelecido o funcionamento do banco de dados, o infrator deverá comprovar à ANPD a regularização da atividade de tratamento.
h) Suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração: a finalidade dessa pena é assegurar o cumprimento das normas legais e regulamentares, com aplicação pelo período máximo de 6 meses, podendo ser prorrogada pelo mesmo período de forma que, para a determinação desses prazos, a ANPD deverá considerar o interesse público, o impacto aos direitos dos titulares de dados pessoais e a classificação da infração.
i) proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados: essa penalidade poderá ser aplicada quando o infrator reincidir em infração punida com a suspensão parcial do funcionamento do bando de dados ou suspensão do exercício da atividade de tratamento dos dados pessoais; quando ocorrer tratamento de dados pessoais com fins ilícitos, ou sem amparo em hipótese legal, ou quando o infrator perder ou não atender as condições técnicas e operacionais para manter o adequado tratamento de dados pessoais.
Quando ocorrer qualquer uma das últimas 3 penalidades acima referidas (suspensão parcial do funcionamento do banco de dados a que se refere a infração, suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração ou de proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados), essas penalidades só serão aplicadas se já tiver sido imposta ao menos uma multa simples, uma multa diária, uma publicização da infração, um bloqueio de dados pessoais ou uma eliminação de dados pessoais para o mesmo caso concreto.
Além disso, nesses casos, a ANPD dará ciência ao “principal órgão ou entidade reguladora setorial, com competências sancionatórias, a que se submete o controlador, durante a fase de instrução, para que se manifeste sobre eventuais consequências da imposição das sanções para o exercício de atividades econômicas reguladas desenvolvidas pelo controlador, especialmente na prestação de serviços públicos, assim como forneça outras informações que entender pertinentes” (art. 3º, parágrafo 2º, da Resolução CD/ANPD n. 4, de 24/02/23).
Assim, por exemplo, o “órgão ou entidade reguladora setorial”. Assim, por exemplo, no caso de companhias telefônicas, essa entidade seria a ANATEL; no caso de Bancos, seria o BACEN; no caso de seguradoras, a SUSEP. Essas entidades possuem caráter de punição dessas atividades.
Todas as penalidades mencionadas serão aplicadas só depois de verificadas as infrações em processo administrativo que siga o devido processo legal, com o contraditório e a ampla defesa, com decisão devidamente fundamentada, sem cabimento de qualquer outro recurso e serão aplicadas de forma gradativa, isolada ou de forma cumulada, conforme as peculiaridades do caso concreto e das regras dispostas na Resolução CD/ANPD n. 4, de 24/02/23.
Caso não haja o cumprimento da sanção aplicada, ou a ausência de regularização da conduta no prazo determinado pela ANPD, esta poderá realizar a progressão da pena com a aplicação de penalidades mais severas e outras medidas legais que entender cabíveis.
A GRAVIDADE DA INFRAÇÃO
O art. 8º, do Anexo da Resolução CD/ANPD n. 4, de 24/02/23 trata sobre a dosimetria e aplicação das sanções administrativas, estabelecendo níveis de gravidade da infração em:
a) LEVE: quando não se apresentar como infração média ou grave (ou seja, por exclusão);
b) MÉDIA: quando puder afetar de forma significativa os interesses e direitos fundamentais dos titulares de dados pessoais, caracterizada nas situações em que a atividade de tratamento puder impedir ou limitar, de maneira significativa, o exercício de direitos ou a utilização de m serviço, e também ocasionar danos materiais ou morais aos titulares, como discriminação; violação à integridade física; ao direito à imagem e à reputação; fraudes financeiras ou uso indevido de identidade, desde que não seja classificada como grave;
c) GRAVE: nas seguintes situações:
c.1) quando ocorrer alguma das situações previstas como infração média, mais pelo menos uma das seguintes condutas (portanto, cumulativamente):
c.1.1) quando envolver tratamento de dados pessoais em larga escala, caracterizado quando abranger número significativo de titulares, considerando-se, ainda, o volume de dados envolvidos, bem como a duração, a frequência e a extensão geográfica do tratamento realizado;
c.1.2) quando o infrator obtiver, ou pretender obter vantagem econômica em decorrência da infração cometida;
c.1.3) quando a infração implicar risco de vida dos titulares;
c.1.4) quando a infração envolver tratamento de dados sensíveis ou de dados pessoais de crianças, adolescentes ou idosos;
c.1.5) quando o infrator realizar tratamento de dados pessoais sem ambaro em alguma das hipóteses (ou bases) legais previstas na LGPD;
c.1.6) quando o infrator realizar tratamento com efeitos discriminatórios ilícitos ou abusivos;
c.1.7) quando verificada a adoção sistemática de práticas irregulares por parte do infrator;
c.2) quando o ato do infrator constituir obstrução à atividade de fiscalização. Desta forma, conforme a Resolução CD/ANPD n. 1, de 28/10/2021, em seus artigos 5º e 6º, poderão constituir obstrução à atividade de fiscalização os seguintes comportamentos, que constituem deveres das pessoas fiscalizadas:
c.2.1) não fornecer cópia de documentos, físicos ou digitais, dados e informações relevantes para a avaliação das atividades de tratamento de dados pessoais, no prazo, local, formato e demais condições estabelecidas pela ANPD;
c.2.2) não permitir o acesso às instalações, equipamentos, aplicativos, facilidades, sistemas, ferramentas e recursos tecnológicos, documentos, dados e informações de natureza técnica, operacional e outras relevantes para a avaliação das atividades de tratamento de dados pessoais, em seu poder ou em poder de terceiros;
c.2.3.) não possibilitar que a ANPD tenha conhecimento dos sistemas de informação utilizados para tratamento de dados e informações, bem como de sua rastreabilidade, atualização e substituição, disponibilizando os dados e as informações oriundos destes instrumentos;
c.2.4) não se submeter a auditorias realizadas ou determinadas pela ANPD;
c.2.5) não manter os documentos físicos ou digitais, os dados e as informações durante os prazos estabelecidos na legislação e em regulamentação específica, bem como durante todo o prazo de tramitação de processos administrativos nos quais sejam necessários;
c.2.6) não disponibilizar, sempre que requisitado, representante apto a oferecer suporte à atuação da ANPD, com conhecimento e autonomia para prestar dados, informações e outros aspectos relativos a seu objeto.
Como visto, as penalidades já são uma realidade, se a empresa não se adequar à proteção de dados pessoais. Assim, é melhor sua empresa andar rápido e se adequar o quanto antes, a fim de que não seja surpreendida com eventuais fiscalizações e sanções por ausência da conformidade exigida pela LGPD.
Redigido pelo Dr. Diego Ronconi, co-fundador de EDNA.CENTER, certificado DPO pela EXIM.
Comments are closed