O Regulamento de Dosimetria e Aplicação de Sanções Administrativas (“Regulamento”) acaba de ser publicado pela Autoridade Nacional de Proteção de Dados (ANPD), após um longo período de debates com a sociedade, por meio de consultas e audiências públicas.
Trata-se da Resolução CP/ANPD nº 4, publicada no Diário Oficial da União de 27 de fevereiro de 2023, que aprova o referido Regulamento.
A Diretoria da ANPD tem a expectativa de agilizar o trâmite de processos administrativos, que investigam a prática de infrações à Lei Geral de Proteção de Dados Pessoais (LGPD), na medida em que o Regulamento delimita os critérios para a aplicação das sanções, de forma a autorizar ações fiscalizatórias e eventual imposição de sanções aos infratores, mas sempre garantido o direito ao devido processo legal e ao contraditório.
Importante lembrar que a LPGD prevê um rol de sanções para aqueles que a descumprirem, a saber e listados por grau de gravidade: advertência, multa simples, multa diária, publicização da infração, bloqueio de dados pessoais, eliminação de dados pessoais, suspensão parcial de funcionamento de banco de dados, suspensão do exercício da atividade de tratamento de dados pessoais e proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
De acordo com o Regulamento, a infração poderá enquadrar-se em três classificações: leve; média ou grave.
As infrações leves serão aquelas que não se enquadrarem nos requisitos citados a seguir.
Quando afetar significativamente interesses e direitos fundamentais dos titulares de dados pessoais (…) como danos materiais ou morais aos titulares, tais como discriminação; violação à integridade física; ao direito à imagem e à reputação; fraudes financeiras ou uso indevido de identidade – a infração será considerada média.
Já a infração será considerada grave, caso cumulado aos aspectos descritos acima também: (i) envolver tratamento de dados em larga escala; ou pretensão de vantagem econômica pelo infrator; ou representar risco à vida dos titulares; ou envolver tratamento de dados pessoais sensíveis, de menores de idade ou idosos; ou realizar tratamento sem fundamentação em base legal válida; ou realizar tratamento com efeitos discriminatórios, ilícitos ou abusivos; ou o infrator adotar práticas irregulares de forma sistemática; ou (ii) constituir obstrução à atividade de fiscalização.
O mencionado Regulamento, também reitera os parâmetros especificados no §1°, do Art. 52 da LGPD que deverão ser observados na aplicação das sanções administrativas, observada a proporcionalidade entre a infração cometida e a pena aplicada (dosimetria da pena), levando em conta os seguintes critérios:
- a gravidade e a natureza das infrações (infrações leves, médias ou graves) e os direitos pessoais envolvidos;
- a boa-fé do infrator,
- a vantagem auferida ou pretendida pelo infrator,
- a condição econômica do infrator,
- a reincidência específica,
- a reincidência genérica;
- o grau do dano,
- a cooperação do infrator,
- a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado dos danos,
- a adoção de políticas de boas práticas e governança,
- a pronta adoção das medidas corretivas, e
- a proporcionalidade entre a gravidade da falta e a intensidade da sanção.
No caso de sanções pecuniárias, por exemplo, que pode alcançar o valor de até R$50.000.000,00 (cinquenta milhões de reais) por infração, uma vez definido o valor-base da multa (com base na gravidade da infração, faturamento do infrator e grau do dano), serão ainda avaliadas as circunstâncias agravantes e as atenuantes (novidade que o Regulamento traz), que farão com o que a pena base seja aumentada ou diminuída, respectivamente, a depender da incidência de tais circunstâncias no caso concreto.
O rol de atenuantes e agravantes para o cálculo de multa simples inclui porcentagens mínimas e máximas do que poderá ser aplicado ao infrator. As hipóteses envolvendo agravamento da sanção pecuniária são: reincidência da infração; medida preventiva/de orientação descumprida; medida corretiva descumprida, este último, podendo atingir o agravamento de até 90% da multa aplicada. Já as atenuantes incluem: cessação da infração – que pode garantir até 75% de diminuição da multa, caso ocorra antes de instauração de procedimento preparatório pela ANPD; implementação de políticas e boas práticas de governança; implementação de medidas capazes de reverter ou mitigar a infração e boa-fé/cooperação por parte do infrator.
Interessante ressaltar que o Regulamento também traz disposição referente à ciência sobre a fase de instrução de processos fiscalizatórios da ANPD para órgãos reguladores competentes dos quais o infrator se enquadra, para que os órgãos setoriais possam se manifestar sobre eventuais consequências das sanções administrativas, considerando as peculiaridades de cada setor empresarial, tornando o processo multidisciplinar e subsidiando à ANPD para o processo fiscalizatório.
Destaca-se que a implementação de políticas de boas práticas e a adoção efetiva de mecanismos e procedimentos internos para garantir o tratamento seguro e adequado de dados pessoais, podem ser consideradas como fatores atenuantes para diminuir o valor-base da multa aplicável.
Assim, recomenda-se fortemente que as empresas estejam atentas à conformidade com a LGPD e, inclusive, que sigam monitorando, de forma efetiva, seus processos de controles internos de proteção de dados pessoais, de forma a minimizar eventuais riscos de privacidade e de autuações por parte da ANPD e, nestes casos, de aplicação de sanções.
Se, por um lado, o dito Regulamento traz segurança jurídica aos administrados, na medida em que deixa claro quais serão os requisitos que deverão ser observados pela ANPD na aplicação de sanções, por outro lado, é um evidente alerta à sociedade de que, doravante, ações repressivas por parte da ANPD passarão a ser adotadas, como um importante passo de efetivação da proteção de dados pessoais no País.
O GCAA possui experiência na instituição do programa de governança em privacidade e está à disposição para apoiá-los na implementação de procedimentos e controles internos, de acordo com as premissas da LGPD deste Regulamento.
Para mais informações, contate-nos: contato@gcaa.com.br.
Tae Young Cho
Graziella Angela Tinari Dell´Osa
Camilla Chicaroni