Por Carolina Coelho
O tão aguardado regulamento para aplicação das sanções administrativas em virtude de infração à Lei Geral de Proteção de Dados Pessoais (LGPD) foi publicado pela Autoridade Nacional de Proteção de Dados (ANPD) no último dia 27 de fevereiro, por meio da Resolução CD/ANPD nº 4, de 24 de fevereiro de 2023.
A chamada "norma de dosimetria", estava prevista no artigo 53 [1] da LGPD, para que a ANPD pudesse aplicar as sanções previstas no artigo 52 [2] da referida noma, capazes de causar grandes impactos financeiros, tendo em vista que eventual multa pode chegar até 2% do faturamento da pessoa jurídica de direito privado, limitada, no total, a R$ 50 milhões por infração, além de suspensão ou proibição de realizar a operação envolvendo o tratamento de dados pessoais, o que pode gerar prejuízos financeiros incalculáveis, além de danos à reputação da organização.
Desde a publicação da LGPD, em agosto de 2018, a sociedade vem aguardando este regulamento, que é a norma que vai estabelecer as circunstâncias, as condições e os métodos de aplicação das sanções, considerando, dentre outros aspectos, o dano ou o prejuízo causado aos titulares de dados pelo descumprimento à LGPD.
Referida norma, elaborada com diversas contribuições da sociedade, busca garantir a proporcionalidade entre a sanção aplicada e a gravidade da conduta do agente, visando, ainda, proporcionar segurança jurídica aos processos fiscalizatórios e garantir o direito ao devido processo legal e ao contraditório, essenciais ao direito administrativo sancionador.
Dentre as sanções que poderão ser aplicadas pela ANPD, tem-se: advertência; multa simples; multa diária; publicização da infração, após devidamente apurada e confirmada a sua ocorrência; bloqueio dos dados pessoais a que se refere a infração; eliminação dos dados pessoais a que se refere a infração; suspensão parcial do funcionamento do banco de dados; suspensão do exercício da atividade de tratamento dos dados pessoais; e proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
Para a definição da sanção a ser aplicada ao caso concreto, a ANPD deverá observar parâmetros e critérios, quais sejam, a gravidade e a natureza das infrações e dos direitos pessoais afetados; a boa-fé do infrator; a vantagem auferida ou pretendida pelo infrator; a condição econômica do infrator; a reincidência específica [3]; a reincidência genérica [4]; o grau do dano; a cooperação do infrator; a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados, em consonância com a LGPD; a adoção de política de boas práticas e governança; a pronta adoção de medidas corretivas; e a proporcionalidade entre a gravidade da falta e a intensidade da sanção.
Assim, conforme a gravidade e a natureza das infrações, estas serão classificadas em leve, média ou grave. A infração será considerada como média quando puder afetar significativamente interesses e direitos fundamentais dos titulares de dados pessoais, caracterizada nas situações em que a atividade de tratamento puder impedir ou limitar, de maneira significativa, o exercício de direitos ou a utilização de um serviço, assim como ocasionar danos materiais ou morais aos titulares, tais como discriminação; violação à integridade física; ao direito à imagem e à reputação; fraudes financeiras ou uso indevido de identidade. O Regulamento caracteriza como grave quando, além de verificada a hipótese citada para infração média, também for verificado que a infração envolve tratamento de dados pessoais em larga escala, caracterizado quando abranger número significativo de titulares, considerando-se, ainda, o volume de dados envolvidos, bem como a duração, a frequência e a extensão geográfica do tratamento realizado; o infrator auferir ou pretender auferir vantagem econômica em decorrência da infração cometida; a infração implicar risco à vida dos titulares; a infração envolver tratamento de dados sensíveis ou de dados pessoais de crianças, de adolescentes ou de idosos; o infrator realizar tratamento de dados pessoais sem amparo em uma das hipóteses legais previstas na LGPD; o infrator realizar tratamento com efeitos discriminatórios ilícitos ou abusivos; ou verificada a adoção sistemática de práticas irregulares pelo infrator. Também será grave se a infração constituir obstrução à atividade de fiscalização. Por sua vez, quando não verificada nenhuma das hipóteses anteriormente citadas para o caso de infração média ou grave, a infração será considerada como leve.
No caso de a infração ser leve ou média e não configurar reincidência específica ou quando houver necessidade de imposição de medidas corretivas, a ANPD poderá aplicar sanção de advertência.
Para o cálculo da multa, que poderá ser simples [5] ou diária [6], o Regulamento prevê que a ANPD deverá observar a metodologia prevista no Apêndice I do Regulamento de Dosimetria e Aplicação de Sanções Administrativas, que leva em consideração a classificação da infração; o faturamento do infrator no último exercício disponível anterior à aplicação da sanção, excluídos os tributos de que trata o inciso III do §1º do artigo 12 do Decreto-Lei nº 1.598/1977, relativo ao ramo de atividade empresarial em que ocorreu a infração; e o grau do dano.
Considera-se como faturamento: 1) a receita bruta de que trata o artigo 12 do Decreto-Lei nº 1.598/1977, excluídas as devoluções e vendas canceladas, bem como os descontos concedidos incondicionalmente; 2) a receita bruta de que trata o §1º do artigo 3º da Lei Complementar nº 123/2006, excluídas as devoluções e vendas canceladas, bem como os descontos concedidos incondicionalmente, para pessoas jurídicas de direito privado optantes pelo Simples Nacional; 3) o montante total de recursos auferidos, excluídos os tributos sobre vendas, para pessoas jurídicas de direito privado sem fins lucrativos, nos termos da legislação vigente; ou 4) o valor definido pela ANPD, considerando os limites previstos legalmente para os optantes pelo Simples Nacional (Lei Complementar nº 123/2006); para o caso de startups (Lei Complementar nº 182/2021), bem como o faturamento total da empresa, do grupo ou conglomerado de empresas no Brasil, caso não disponível a informação referente ao ramo de atividade empresarial em que ocorreu a infração; ou o somatório dos rendimentos recebidos por pessoas naturais referentes a atividades de tratamento de dados pessoais, direta ou indiretamente; ou, nos demais casos, o limite de faturamento correspondente ao valor máximo de multa prevista na LGPD, correspondente a R$ 50 milhões.
Verifica-se, ainda, que para a fixação do valor da multa, o Regulamento determina que a ANPD deverá observar se há no caso concreto a presença de circunstâncias agravantes e/ou atenuantes, que impactarão no aumento ou na redução do valor da multa.
Relembre-se que a ANPD já aprovou o Regulamento do Processo de Fiscalização e do Processo Administrativo Sancionador no âmbito da Autoridade Nacional de Proteção de Dados, por meio da Resolução CD/ANPD nº 1, de 28.10.2021, o qual sofreu algumas alterações pela citada Resolução CD/ANPD nº 4, de 24 de fevereiro de 2023, devendo ser ressaltado que com o Regulamento de Dosimetria e Aplicação de Sanções Administrativas, recém-publicado, os casos de infração à LGPD já poderão ser sancionados.
Portanto, para quem aguardava a aplicação de penalidades para se adequar à LGPD, o momento de buscar a conformidade em relação à privacidade e à segurança dos dados pessoais chegou, não podendo mais ser adiado.
[1] Artigo 53. A autoridade nacional definirá, por meio de regulamento próprio sobre sanções administrativas a infrações a esta Lei, que deverá ser objeto de consulta pública, as metodologias que orientarão o cálculo do valor-base das sanções de multa.
[2] Artigo 52. Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas nesta Lei, ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional:
I - advertência, com indicação de prazo para adoção de medidas corretivas;
II - multa simples, de até 2% do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 por infração;
III - multa diária, observado o limite total a que se refere o inciso II;
IV - publicização da infração após devidamente apurada e confirmada a sua ocorrência;
V - bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
VI - eliminação dos dados pessoais a que se refere a infração;
VII - (VETADO);
VIII - (VETADO);
IX - (VETADO).
X - suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de seis meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;
XI - suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de seis meses, prorrogável por igual período;
XII - proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
[3] Consistente na repetição de infração pelo mesmo infrator ao mesmo dispositivo legal ou regulamentar, no período de cinco anos, contado do trânsito em julgado do processo administrativo sancionador, até a data do cometimento da nova infração.
[4] Consistente no cometimento de infração pelo mesmo infrator, independentemente do dispositivo legal ou regulamentar, no período de cinco anos, contado do trânsito em julgado do processo administrativo sancionador até a data do cometimento da nova infração.
[5] De acordo com o artigo 10 do Regulamento de Dosimetria e Aplicação de Sanções Administrativas, a ANPD aplicará multa simples quando 1) o infrator não tiver atendido as medidas preventivas ou corretivas a ele impostas, dentro dos prazos estabelecidos; 2) a infração for classificada como grave; ou 3) pela natureza da infração, da atividade de tratamento ou dos dados pessoais, e pelas circunstâncias do caso concreto, não for adequado aplicar outra sanção
[6] Consoante artigo 16 do Regulamento de Dosimetria e Aplicação de Sanções Administrativas, a ANPD aplicará multa diária quando necessária para assegurar o cumprimento, em prazo certo, de uma sanção não pecuniária ou de uma determinação estabelecida pela ANPD, observados: 1) o limite total previsto no artigo 52, inciso II, da LGPD, por infração; 2) a classificação da infração; e 3) o grau do dano, nos termos do Apêndice I do referido Regulamento.
Carolina Coelho é advogada da Área de Direito Administrativo e regulatório do Araúz Advogados.
Revista Consultor Jurídico, 5 de março de 2023, 7h05
https://www.conjur.com.br/2023-mar-05/carolina-coelho-regulamento-aplicacao-sancoes-infracao-lgpd#author
O tão aguardado regulamento para aplicação das sanções administrativas em virtude de infração à Lei Geral de Proteção de Dados Pessoais (LGPD) foi publicado pela Autoridade Nacional de Proteção de Dados (ANPD) no último dia 27 de fevereiro, por meio da Resolução CD/ANPD nº 4, de 24 de fevereiro de 2023.
A chamada "norma de dosimetria", estava prevista no artigo 53 [1] da LGPD, para que a ANPD pudesse aplicar as sanções previstas no artigo 52 [2] da referida noma, capazes de causar grandes impactos financeiros, tendo em vista que eventual multa pode chegar até 2% do faturamento da pessoa jurídica de direito privado, limitada, no total, a R$ 50 milhões por infração, além de suspensão ou proibição de realizar a operação envolvendo o tratamento de dados pessoais, o que pode gerar prejuízos financeiros incalculáveis, além de danos à reputação da organização.
Desde a publicação da LGPD, em agosto de 2018, a sociedade vem aguardando este regulamento, que é a norma que vai estabelecer as circunstâncias, as condições e os métodos de aplicação das sanções, considerando, dentre outros aspectos, o dano ou o prejuízo causado aos titulares de dados pelo descumprimento à LGPD.
Referida norma, elaborada com diversas contribuições da sociedade, busca garantir a proporcionalidade entre a sanção aplicada e a gravidade da conduta do agente, visando, ainda, proporcionar segurança jurídica aos processos fiscalizatórios e garantir o direito ao devido processo legal e ao contraditório, essenciais ao direito administrativo sancionador.
Dentre as sanções que poderão ser aplicadas pela ANPD, tem-se: advertência; multa simples; multa diária; publicização da infração, após devidamente apurada e confirmada a sua ocorrência; bloqueio dos dados pessoais a que se refere a infração; eliminação dos dados pessoais a que se refere a infração; suspensão parcial do funcionamento do banco de dados; suspensão do exercício da atividade de tratamento dos dados pessoais; e proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
Para a definição da sanção a ser aplicada ao caso concreto, a ANPD deverá observar parâmetros e critérios, quais sejam, a gravidade e a natureza das infrações e dos direitos pessoais afetados; a boa-fé do infrator; a vantagem auferida ou pretendida pelo infrator; a condição econômica do infrator; a reincidência específica [3]; a reincidência genérica [4]; o grau do dano; a cooperação do infrator; a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados, em consonância com a LGPD; a adoção de política de boas práticas e governança; a pronta adoção de medidas corretivas; e a proporcionalidade entre a gravidade da falta e a intensidade da sanção.
Assim, conforme a gravidade e a natureza das infrações, estas serão classificadas em leve, média ou grave. A infração será considerada como média quando puder afetar significativamente interesses e direitos fundamentais dos titulares de dados pessoais, caracterizada nas situações em que a atividade de tratamento puder impedir ou limitar, de maneira significativa, o exercício de direitos ou a utilização de um serviço, assim como ocasionar danos materiais ou morais aos titulares, tais como discriminação; violação à integridade física; ao direito à imagem e à reputação; fraudes financeiras ou uso indevido de identidade. O Regulamento caracteriza como grave quando, além de verificada a hipótese citada para infração média, também for verificado que a infração envolve tratamento de dados pessoais em larga escala, caracterizado quando abranger número significativo de titulares, considerando-se, ainda, o volume de dados envolvidos, bem como a duração, a frequência e a extensão geográfica do tratamento realizado; o infrator auferir ou pretender auferir vantagem econômica em decorrência da infração cometida; a infração implicar risco à vida dos titulares; a infração envolver tratamento de dados sensíveis ou de dados pessoais de crianças, de adolescentes ou de idosos; o infrator realizar tratamento de dados pessoais sem amparo em uma das hipóteses legais previstas na LGPD; o infrator realizar tratamento com efeitos discriminatórios ilícitos ou abusivos; ou verificada a adoção sistemática de práticas irregulares pelo infrator. Também será grave se a infração constituir obstrução à atividade de fiscalização. Por sua vez, quando não verificada nenhuma das hipóteses anteriormente citadas para o caso de infração média ou grave, a infração será considerada como leve.
No caso de a infração ser leve ou média e não configurar reincidência específica ou quando houver necessidade de imposição de medidas corretivas, a ANPD poderá aplicar sanção de advertência.
Para o cálculo da multa, que poderá ser simples [5] ou diária [6], o Regulamento prevê que a ANPD deverá observar a metodologia prevista no Apêndice I do Regulamento de Dosimetria e Aplicação de Sanções Administrativas, que leva em consideração a classificação da infração; o faturamento do infrator no último exercício disponível anterior à aplicação da sanção, excluídos os tributos de que trata o inciso III do §1º do artigo 12 do Decreto-Lei nº 1.598/1977, relativo ao ramo de atividade empresarial em que ocorreu a infração; e o grau do dano.
Considera-se como faturamento: 1) a receita bruta de que trata o artigo 12 do Decreto-Lei nº 1.598/1977, excluídas as devoluções e vendas canceladas, bem como os descontos concedidos incondicionalmente; 2) a receita bruta de que trata o §1º do artigo 3º da Lei Complementar nº 123/2006, excluídas as devoluções e vendas canceladas, bem como os descontos concedidos incondicionalmente, para pessoas jurídicas de direito privado optantes pelo Simples Nacional; 3) o montante total de recursos auferidos, excluídos os tributos sobre vendas, para pessoas jurídicas de direito privado sem fins lucrativos, nos termos da legislação vigente; ou 4) o valor definido pela ANPD, considerando os limites previstos legalmente para os optantes pelo Simples Nacional (Lei Complementar nº 123/2006); para o caso de startups (Lei Complementar nº 182/2021), bem como o faturamento total da empresa, do grupo ou conglomerado de empresas no Brasil, caso não disponível a informação referente ao ramo de atividade empresarial em que ocorreu a infração; ou o somatório dos rendimentos recebidos por pessoas naturais referentes a atividades de tratamento de dados pessoais, direta ou indiretamente; ou, nos demais casos, o limite de faturamento correspondente ao valor máximo de multa prevista na LGPD, correspondente a R$ 50 milhões.
Verifica-se, ainda, que para a fixação do valor da multa, o Regulamento determina que a ANPD deverá observar se há no caso concreto a presença de circunstâncias agravantes e/ou atenuantes, que impactarão no aumento ou na redução do valor da multa.
Relembre-se que a ANPD já aprovou o Regulamento do Processo de Fiscalização e do Processo Administrativo Sancionador no âmbito da Autoridade Nacional de Proteção de Dados, por meio da Resolução CD/ANPD nº 1, de 28.10.2021, o qual sofreu algumas alterações pela citada Resolução CD/ANPD nº 4, de 24 de fevereiro de 2023, devendo ser ressaltado que com o Regulamento de Dosimetria e Aplicação de Sanções Administrativas, recém-publicado, os casos de infração à LGPD já poderão ser sancionados.
Portanto, para quem aguardava a aplicação de penalidades para se adequar à LGPD, o momento de buscar a conformidade em relação à privacidade e à segurança dos dados pessoais chegou, não podendo mais ser adiado.
[1] Artigo 53. A autoridade nacional definirá, por meio de regulamento próprio sobre sanções administrativas a infrações a esta Lei, que deverá ser objeto de consulta pública, as metodologias que orientarão o cálculo do valor-base das sanções de multa.
[2] Artigo 52. Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas nesta Lei, ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional:
I - advertência, com indicação de prazo para adoção de medidas corretivas;
II - multa simples, de até 2% do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 por infração;
III - multa diária, observado o limite total a que se refere o inciso II;
IV - publicização da infração após devidamente apurada e confirmada a sua ocorrência;
V - bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
VI - eliminação dos dados pessoais a que se refere a infração;
VII - (VETADO);
VIII - (VETADO);
IX - (VETADO).
X - suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de seis meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;
XI - suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de seis meses, prorrogável por igual período;
XII - proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
[3] Consistente na repetição de infração pelo mesmo infrator ao mesmo dispositivo legal ou regulamentar, no período de cinco anos, contado do trânsito em julgado do processo administrativo sancionador, até a data do cometimento da nova infração.
[4] Consistente no cometimento de infração pelo mesmo infrator, independentemente do dispositivo legal ou regulamentar, no período de cinco anos, contado do trânsito em julgado do processo administrativo sancionador até a data do cometimento da nova infração.
[5] De acordo com o artigo 10 do Regulamento de Dosimetria e Aplicação de Sanções Administrativas, a ANPD aplicará multa simples quando 1) o infrator não tiver atendido as medidas preventivas ou corretivas a ele impostas, dentro dos prazos estabelecidos; 2) a infração for classificada como grave; ou 3) pela natureza da infração, da atividade de tratamento ou dos dados pessoais, e pelas circunstâncias do caso concreto, não for adequado aplicar outra sanção
[6] Consoante artigo 16 do Regulamento de Dosimetria e Aplicação de Sanções Administrativas, a ANPD aplicará multa diária quando necessária para assegurar o cumprimento, em prazo certo, de uma sanção não pecuniária ou de uma determinação estabelecida pela ANPD, observados: 1) o limite total previsto no artigo 52, inciso II, da LGPD, por infração; 2) a classificação da infração; e 3) o grau do dano, nos termos do Apêndice I do referido Regulamento.
Carolina Coelho é advogada da Área de Direito Administrativo e regulatório do Araúz Advogados.
Revista Consultor Jurídico, 5 de março de 2023, 7h05
https://www.conjur.com.br/2023-mar-05/carolina-coelho-regulamento-aplicacao-sancoes-infracao-lgpd#author
