ENG
Alerts

Publicado em 28/02/2023

ANPD publica o regulamento de dosimetria e aplicação de sanções administrativas por violações à LGPD

Em 27 de fevereiro, a Autoridade Nacional de Proteção de Dados (“ANPD”) publicou a Resolução CD/ANPD 4/2023, a qual dispõe sobre os procedimentos para a aplicação de sanções administrativas a agentes de tratamento que violarem a Lei Geral de Proteção de Dados (“LGPD” – Lei 13.709/2018) e contém um guia para dosimetria de multas. Em entrevistas, membros da ANPD por diversas vezes sustentaram que apenas aguardavam a publicação dessa Resolução para o início da aplicação de penalidades decorrentes da violação da LGPD. O foco foi garantir uniformidade e proporcionalidade de tais sanções, trazendo maior segurança jurídica à essa norma.

 

O que diz a Resolução

Seguindo o disposto na LGPD, empresas que violarem a lei ficam sujeitas a sanções que variam de simples advertência a multas e obrigações como bloqueio ou eliminação de dados pessoais. Um dos primeiros pontos esclarecidos pela Resolução é que algumas sanções apenas poderão ser aplicáveis após a imposição de penalidades mais brandas. Nesse sentido, o artigo 3º, §1 estabelece que as sanções de suspensão parcial do funcionamento de bancos de dados, suspensão do exercício da atividade de tratamento de dados pessoais e a proibição do exercício de atividades relacionadas a tratamento de dados pessoais são consideradas penalidades mais graves, que apenas poderão ser aplicadas após outras sanções mais leves para o mesmo caso concreto.

 

Tipificação da Infração

A Resolução estabelece uma classificação para as infrações, a fim de guiar as penalidades cabíveis:

  • Infrações de média gravidade: são aquelas que afetam significativamente os interesses e direitos fundamentais dos titulares de dados pessoais, podendo impedir ou limitar o exercício de direitos ou a utilização de um serviço, bem como ocasionar danos materiais ou morais.
  • Infração grave: é aquela que, além dos riscos e danos que caracterizam uma infração média, também envolvam uma das seguintes hipóteses: (i) tratamento de dados pessoais em larga escala; (ii) confiram ao infrator uma vantagem econômica; (iii) envolvam tratamento de dados sensíveis, de crianças, adolescentes ou idosos; (iv) impliquem riscos à vida dos titulares; (v) seja fruto de um tratamento de dados sem amparo em uma das bases legais previstas na LGPD; (vi) tenha efeitos discriminatórios, ilícitos ou abusivos; ou (vii) seja realizada no âmbito de práticas irregulares sistemáticas pelo infrator.
  • Infração Leve: por exclusão, uma infração leve é aquela que não se enquadra nas definições de infrações médias ou graves.

 

A definição da gravidade da infração tem duas principais finalidades: (i) determinar o tipo de sanção aplicável; e (ii) caso sejam aplicadas penalidades pecuniárias, como multas simples e diárias, é usada para determinar o valor-base. Nesse sentido, por exemplo, ressalta-se que infrações graves não poderão ser punidas com advertência e deverão ser objeto de multas.

 

Valor da Multa

Multa Pecuniária

Em relação às multas simples, a Resolução estabelece que serão considerados os seguintes fatores no cálculo do valor-base: (i) a classificação da infração; (ii) o faturamento do infrator; (iii) o grau do dano ocasionado pela infração. Esse valor será, então, sujeito a reduções ou aumentos, a depender da incidência de fatores atenuantes ou agravantes. Caso o infrator seja reincidente ou tenha descumprido medidas de orientação ou correção anteriormente impostas pela LGPD, a multa será majorado. Por outro lado, a multa pode ser reduzida caso o infrator cesse a infração, implemente políticas de boas práticas de governança ou mecanismos e procedimentos internos capazes de minimizar os danos aos titulares, ou capazes de reverter ou mitigar os efeitos da infração.

Finalmente, após realização do cálculo do valor devido a título de multa simples, a ANPD verificará o seguinte: (i) se o agente de tratamento auferiu vantagem econômica em razão da infração; e (ii) o valor do faturamento do infrator. Em relação ao primeiro ponto, caso o agente de tratamento tenha auferido vantagem econômica, a multa deverá ser, no mínimo, o dobro da vantagem auferida. Em relação ao faturamento, a ANPD verificará se o valor final da multa observa o limite te 2% do faturamento, ou R$50 milhões.

 

Multa diária

Sobre aplicação de multas diárias, a Resolução esclarece que essa penalidade somente poderá ser aplicada quando necessária para garantir o cumprimento, em prazo certo, de outra sanção não pecuniária. Alternativamente, também poderá ser aplicada quando o infrator deixar de sanar irregularidades em prazo assinalado, ou praticar obstrução à fiscalização da ANPD, ou, ainda, praticar uma infração permanente até a data da decisão.

 

Outras Sanções

A Resolução também esclarece alguns pontos sobre as sanções de bloqueio ou eliminação dos dados pessoais ou suspensão parcial de funcionamento de banco de dados. Sempre que o infrator for intimado da aplicação de uma dessas penalidades, deverá imediatamente comunicar aos demais agentes de tratamento com os quais tenha realizado uso compartilhado de dados, para que esses agentes terceiros repitam o mesmo procedimento. Essa comunicação não precisará ser realizada apenas quando for comprovadamente impossível ou implique esforço desproporcional.

Finalmente, a Resolução leva a crer que a penalidade mais severa é a proibição do exercício de atividade relacionada ao tratamento de dados pessoais. A ANPD apenas poderá aplicar esta sanção quando (i) o infrator reincidir em infração punida com suspensão do funcionamento do banco de dados, ou do exercício da atividade de tratamento de dados pessoais; (ii) ocorrer o tratamento de dados pessoais com fins ilícitos ou sem base legal; ou (iii) o infrator perder ou não atender as condições técnicas e operacionais para manter o adequado tratamento de dados pessoais.

A equipe de Privacidade e Tecnologia do Dias Carneiro continuará acompanhando a aplicação desta Resolução.