ANPD publica Regulamento de Dosimetria e Aplicação das Sanções Administrativas da LGPD

O Regulamento era considerado o último entrave regulatório para que a ANPD pudesse efetivamente aplicar as sanções administrativas previstas na LGPD.

A Autoridade Nacional de Proteção de Dados (“ANPD”) publicou, na última segunda-feira (27.02.2023), a Resolução CP/ANPD nº 4/2023, que aprova o Regulamento de Dosimetria e Aplicação das Sanções Administrativas (“Regulamento”), que tem como objetivo estabelecer critérios e parâmetros para a aplicação das sanções administrativas previstas no artigo 52 da Lei Geral de Proteção de Dados Pessoais (“LGPD”), bem como formas de dosimetrias para o cálculo do valor-base das penalidades de multa.

O Regulamento vem para garantir segurança jurídica e previsibilidade aos processos administrativos sancionadores da ANPD, assegurando a devida proporcionalidade entre a sanção aplicada e a gravidade da conduta do agente. Além disso, a Resolução complementa e altera a Resolução CD/ANPD n.º 1, de 28 de outubro de 2021, que aprovou o Regulamento do Processo de Fiscalização e do Processo Administrativo Sancionador e já estava em vigor.

A publicação do Regulamento era aguardada com grande expectativa, pois se tratava da última pendência regulatória para que a ANPD pudesse efetivamente impor sanções administrativas em caso de descumprimento da LGPD. Desse modo, a atuação fiscalizadora e repressiva da ANPD passa a ser fortalecida e, em breve, teremos as primeiras sanções impostas pelo órgão.

Portanto, é importante que as empresas e demais entidades sujeitas à LGPD que ainda não tenham se adequado à lei busquem fazê-lo o mais rápido possível. É altamente recomendável, também, a revisão e atualização dos programas de governança em proteção de dados para assegurar que estejam em linha com os últimos normativos e diretrizes regulatórias da ANPD. Vale lembrar que a implementação de políticas de boas práticas e governança em proteção de dados poderá servir como critério objetivo para atenuação de eventual sanção administrativa que venha a ser imposta pela ANPD.

Apresentamos abaixo breves considerações acerca da Resolução e seus principais pontos.

Escopo do Regulamento: sanções administrativas e critérios para sua aplicação

O Regulamento disciplina de forma específica cada uma das seguintes sanções previstas no art. 52 da LGPD, cuja competência para sua aplicação é exclusiva da ANPD:

(i) advertência;

(ii) aplicação de multa simples;

(iii) aplicação de multa diária;

(iv) publicização da infração;

(v) bloqueio dos dados pessoais;

(vi) eliminação dos dados pessoais;

(vii) suspensão parcial do funcionamento do banco de dados;

(viii)suspensão do exercício da atividade de tratamento dos dados pessoais; e

(ix) proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.

Na aplicação de uma sanção, após processo administrativo que assegure ao agente investigado o direito à ampla defesa e ao contraditório, a ANPD deve garantir a proporcionalidade entre a sanção aplicada e a gravidade da conduta do agente.

Nesse sentido, o Regulamento, em linha com a LGPD, elenca os seguintes critérios e parâmetros para a aplicação da de uma sanção:

(i) A gravidade e a natureza das infrações e dos direitos pessoais afetados;

(ii) Boa-fé do infrator;

(iii) A vantagem auferida ou pretendida pelo infrator;

(iv) A condição econômica do infrator;

(v) Reincidência específica;

(vi) Reincidência genérica

(vii) O grau do dano;

(viii) A cooperação do infrator;

(ix) A adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados, em consonância com a LGPD;

(x) A adoção de política de boas práticas e governança;

(xi) A pronta adoção de medidas corretivas; e

(xii) Proporcionalidade entre a gravidade da falta e a intensidade da sanção.

Principais pontos do Regulamento

Em linhas gerais, os principais tópicos abordados pelo Regulamento são os seguintes:

1. Limitação para imposição das sanções mais severas. Estabelece que as sanções mais severas, quais sejam, suspensão parcial do funcionamento do banco de dados, suspensão do exercício da atividade de tratamento dos dados e proibição parcial ou total do exercício de atividades de tratamento, somente serão aplicadas após já ter sido imposta ao menos uma das demais sanções consideradas menos severas, como advertência ou multa;
2. Descumprimento da sanção aplicada ou ausência de regularização da conduta. Caso o agente de tratamento (controlador ou operador) não cumpra a sanção (e.g., se recuse a pagar uma multa) ou se negue a regularizar a conduta infrativa, a ANPD poderá aplicar as sanções mais severas mencionadas acima, sem prejuízo de outras medidas cabíveis;
3. Classificação das infrações. Para fins de aplicação das sanções, as infrações analisadas pela ANPD serão classificadas de acordo com a gravidade e natureza das condutas e dos direitos pessoais afetados, em:

      Leve, para situações menos gravosas que não se enquadrem como média ou grave;

      Média, quando puder afetar de modo significativo os interesses e direitos fundamentais dos titulares, tais como situações que possam afetar o exercício de direitos, ocasionar danos materiais ou morais aos titulares, incluindo discriminação, violação à integridade física, ao direito à imagem e à reputação, fraudes financeiras ou uso indevido de identidade; e

      Grave, quando for verificada a hipótese estabelecida para classificação da infração “média” (indicada acima), cumulativamente a uma das seguintes situações em um caso concreto:

• Envolver o tratamento de dados pessoais em larga escala;
• Infrator auferir ou pretender auferir vantagem econômica em decorrência da infração cometida;
• Infração implicar risco à vida dos titulares de dados;
• Infração envolver tratamento de dados sensíveis ou de dados pessoais de crianças (0-12 anos de idade incompletos), adolescentes (12-18 anos de idade) e de idosos (a partir de 60 anos de idade);
• Infrator realizar tratamento de dados pessoais sem amparo em uma das hipóteses legais previstas na LGPD;
• Infrator realizar tratamento com efeitos discriminatórias ilícitos ou abusivos; ou
• For verificada a adoção sistemática de práticas irregulares pelo infrator.

4. Metodologia para a definição do valor-base da multa simples. A Resolução traz em seu Apêndice I metodologia para a definição do valor-base da pena de multa simples, que parte de elementos como a classificação da infração, o faturamento do infrator e o grau do dano causado.
5. Circunstâncias agravantes e atenuantes. A Resolução também prevê que o valor da multa será acrescido de determinados percentuais em casos de reincidência, descumprimento de medidas de orientação, preventiva e/ou corretivas. Da mesma forma, há também critérios atenuantes que poderão levar à redução do valor da multa em determinados percentuais, por exemplo, quando o infrator cessar a infração, implementar medidas para reverter ou mitigar os danos, cooperar com a investigação, agir de boa-fé, etc.
6. Política de boas práticas e de governança como circunstância atenuante. Dentre os critérios atenuantes, a Resolução prevê a possibilidade de redução do valor da multa em 20% (vinte por cento) nos casos em que o infrator comprovar que implementou política de boas práticas e de governança, ou a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar os danos aos titulares.
7. Reincidência. O Regulamento prevê dois tipos de reincidência que poderão levar à aplicação de sanções mais severas, além de servirem como circunstância agravante a incidir sobre o valor da multa aplicada. A reincidência específica diz respeito à repetição da mesma infração pelo mesmo infrator dentro do período de 5 anos contados do trânsito em julgado do processo administrativo sancionador até a data do cometimento da nova infração. Já a reincidência genérica trata do cometimento de qualquer infração pelo mesmo infrator dentro do mesmo prazo de 5 anos indicado acima.

Pontos polêmicos

1. Discricionariedade da ANPD para afastar a metodologia de dosimetria em alguns casos

Dentre os pontos mais polêmicos do Regulamento, destacamos o artigo 27, que autoriza a ANPD a afastar a metodologia de dosimetria de sanção de multa ou substituir a aplicação de sanção de multa por outra constante no Regulamento, se vier a considerar que a sanção em questão não é proporcional à gravidade da infração. A crítica que deve ser feita aqui diz respeito ao excesso de poder discricionário da ANPD para afastar a metodologia que tem justamente o objetivo de conferir previsibilidade e segurança jurídica aos agentes de tratamento sujeitos às sanções administrativas previstas na LGPD.

Embora o referido art. 27 preveja que a decisão de afastamento da metodologia de dosimetria, pela ANPD, deva ser “baseada em valores jurídicos abstratos”, além de ser “motivada e fundamentada”, não podemos descartar o risco de que tal dispositivo abra caminho para decisões arbitrárias ou injustas. Afinal, o próprio Regulamento já prevê penalidades mais severas para os casos tidos como mais graves, de acordo com a metodologia nele prevista.

Portanto, a utilização da exceção prevista no artigo 27 do Regulamento pela ANPD poderá resultar em judicialização, com resultados incertos e que dependerão de interpretação pelos tribunais.

2. Discussão sobre possível aplicação do Regulamento a processos administrativos iniciados antes de sua publicação

O artigo 28 do Regulamento prevê que este é aplicável aos processos administrativos em curso quando de sua entrada em vigor. Isso significa que as disposições do Regulamento poderão ser aplicadas imediatamente a processos administrativos que estejam em andamento e que, portanto, foram iniciados antes da entrada em vigor do Regulamento.

A possibilidade de aplicação de sanções administrativas com base no Regulamento a casos iniciados antes de sua entrada em vigor poderá resultar em judicialização, uma vez que o artigo 53, § 1º, da LGPD prevê que as metodologias que orientarão o cálculo do valor-base das sanções de multa devem ser “previamente publicadas, para ciência dos agentes de tratamento”. Essa norma poderia levar ao questionamento de eventual imposição de sanção administrativa pela ANPD em relação a conduta praticada antes da publicação do Regulamento, ainda que sob processo administrativo que já estava em andamento quando de sua entrada em vigor.

Outras considerações importantes

1. A aplicação de sanções não exclui a reparação de danos e nem a imposição de multas previstas em outras leis

É importante destacar que as sanções administrativas que venham a ser aplicadas pela ANPD não excluem a possibilidade de infratores virem a sofrer ações indenizatórias para a reparação de danos patrimoniais, morais, individuais ou coletivos, causados a titulares em decorrência de violações à LGPD, conforme previsto nos artigos 42 a 45 da LGPD. De fato, a propositura de ações judiciais de reparação de danos por descumprimento da LGPD já era possível desde a entrada em vigor da LGPD em setembro de 2020, sendo que já há diversos casos julgados por tribunais brasileiros.

Da mesma forma, as sanções administrativas que porventura venham a ser aplicadas pela ANPD também não excluem a possibilidade de aplicação de sanções administrativas previstas em outras leis, como o Código de Defesa do Consumidor, por outras autoridades, tais como os órgãos de defesa do consumidor e o Ministério Público.

2. A aplicação de sanções não é o único instrumento regulatório à disposição da ANPD

É importante destacar que atuação repressiva da ANPD, consubstanciada na possibilidade de aplicação de sanções administrativa, constitui apenas um dos instrumentos regulatórios à disposição do órgão para impor o cumprimento da LGPD. Isso porque, conforme se depreende do Regulamento do Processo de Fiscalização e do Processo Administrativo Sancionador, em vigor desde outubro de 2021, a atuação da ANPD deverá se dar conforme uma abordagem regulatória responsiva, focada no monitoramento, orientação e prevenção, visando à disseminação de uma cultura da proteção de dados nas organizações, sem deixar de se valer de instrumentos sancionatórios, quando necessário, para coibir infrações e impor o cumprimento da LGPD.

A equipe de Tecnologia, Proteção de Dados e Propriedade Intelectual do Lefosse está à disposição para auxiliar seus clientes em eventuais dúvidas e esclarecimentos sobre o novo Regulamento, bem como na implementação de medidas jurídicas de adequação à LGPD.