Hoje foi publicada a Resolução CD/ANPD nº 4, de 24 de fevereiro de 2023 (“Regulamento”), regulamentando a dosimetria e aplicação das sanções administrativas no âmbito da Autoridade Nacional de Proteção de Dados (“ANPD” ou “Autoridade”). O Regulamento era aguardado para trazer maior clareza quanto à atividade sancionadora da Autoridade, especialmente no que toca à definição de critérios e parâmetros para a aplicação das sanções.
O Regulamento estabeleceu a possibilidade de adoção de medidas preventivas além daquelas que já tinham sido dispostas na Resolução CD/ANPD nº 01/2021, com a previsão de que o não atendimento de tais medidas será considerado circunstância agravante em caso de sanção.
Ademais, dispôs que será considerado como reincidência quando um agente, no prazo de 5 anos após o trânsito em julgado de decisão em que foi condenado, descumprir um dispositivo da legislação ou regulamentação de proteção de dados pessoais. Essa reincidência poderá ser específica, quando a infração se relacionar ao mesmo dispositivo da decisão transitada em julgado, ou genérica, nos demais casos.
Outra novidade relevante do Regulamento é a previsão de que, para aplicação das sanções de proibição ou suspensão da atividade, quando o infrator estiver em setor regulado, a ANPD informará à entidade setorial a respeito do processo, para que se manifeste acerca das possíveis consequências na interrupção do fornecimento dos serviços, especialmente quando se referirem à prestação de serviço público.
Contudo, as principais disposições do Regulamento são relativas à dosimetria da pena, com o estabelecimento de uma classificação segundo a gravidade do dano causado, nos seguintes termos:
(i) Dano Leve: todos os casos de infração que não forem considerados como de dano médio ou grave;
(ii) Dano Médio: quando o dano impedir ou limitar o exercício de direitos ou uso de um serviço, afetando significativamente interesses e direitos fundamentais dos titulares, não estando incluído nas hipóteses abaixo de dano grave; ou
(iii) Dano Grave: quando a infração, além de cumprir os requisitos para ser considerada de dano médio, também envolver tratamento: (i) em larga escala; (ii) com vantagem econômica pretendida ou obtida pelo infrator; (iii) com risco à vida dos titulares; (iv) de dados sensíveis, de idosos, adolescentes ou crianças; (v) sem ao menos uma das bases legais previstas na LGPD; (vi) com discriminação ilícita ou abusiva; ou (vii) com adoção sistemática de práticas irregulares. Ademais, também será considerada grave uma infração que tiver o intuito de obstruir a atividade fiscalizatória da ANPD.
Quanto à aplicação das sanções, o Regulamento previu que será emitida advertência pela ANPD quando o dano for leve ou médio e não constituir reincidência específica ou quando existir necessidade de medida corretiva. Já a multa simples será aplicada quando a infração for grave, o infrator não tiver atendido medidas corretivas ou preventivas impostas a ele ou quando a Autoridade entender inadequado o uso de outra sanção.
Em relação às sanções pecuniárias, para o cálculo do valor da multa simples, o Regulamento estabeleceu uma fórmula, que utilizará um valor-base, considerando a natureza da infração, o faturamento do infrator no ano anterior e o grau do dano, assim como considerará as circunstâncias agravantes e atenuantes. Cabe ressaltar que, em determinados casos, este valor do faturamento poderá ser definido pela própria ANPD.
De acordo com a norma, serão agravantes para o cálculo da multa simples a reincidência genérica ou específica, bem como o descumprimento de medida de orientação, corretiva ou preventiva proferida pela ANPD, com percentuais específicos para cada um deles.
No que se refere às circunstâncias atenuantes, elas poderão ser a cessação da infração antes da primeira decisão condenatória proferida pela Autoridade, assim como a existência de políticas de governança e boas práticas e a implementação de medidas que tenham revertido ou mitigado os efeitos danosos da infração.
Cumpre destacar que, na existência de múltiplos fatores agravantes, os respectivos percentuais serão somados. O mesmo ocorrerá na hipótese de diversos fatores atenuantes.
No que toca a multa diária, o Regulamento dispôs que ela observará os mesmos critérios que a multa simples, ocorrendo quando houver infração permanente, obstrução à fiscalização ou descumprimento de obrigação de sanar irregularidade que venha sendo cometida.
O prazo para pagamento das multas, sejam elas diárias ou simples, será de 20 dias úteis, com exceção dos agentes de pequeno porte, nos termos da Resolução CD/ANPD nº
02/2022, que terão esse prazo dobrado. Ademais, a renúncia do direito de recorrer de após a decisão de primeira instância implicará na redução de 25% do valor da multa aplicada.
Já quanto às sanções não pecuniárias, o Regulamento trouxe pontos adicionais acerca da publicização da infração, do bloqueio ou eliminação de dados pessoais, da suspensão parcial do funcionamento do banco de dados do infrator e da proibição parcial ou total da atividade do tratamento de dados em que ocorreu a infração.
Nesse sentido, cabe destaque à previsão de que tanto a suspensão do funcionamento do banco de dados do controlador quanto a proibição parcial da atividade de tratamento poderão ocorrer por até 6 meses, prorrogáveis pelo mesmo período. Por sua vez, a proibição total da atividade de tratamento será aplicável para casos em que uma das medidas anteriores tiver sido imposta ou o tratamento ocorrer sem base legal, para fins ilícitos ou sem condições técnicas e operacionais de adequação.
Nossa equipe está à disposição para maiores esclarecimentos adicionais, bem como para assessorar com os procedimentos para cumprimento das obrigações regulatórias da LGPD perante a ANPD.