Em 27 de fevereiro de 2023, a Autoridade Nacional de Proteção de Dados (“ANPD”) publicou a Resolução CD/ANPD nº 4, apresentando o aguardado Regulamento de Dosimetria e Aplicação de Sanções Administrativas, além de apresentar alterações ao Regulamento do Processo de Fiscalização e do Processo Administrativo Sancionador.

A regulamentação aborda a aplicação das disposições previstas nos artigos 52 e 53 da Lei Federal nº 13.709/18 (“Lei Geral de Proteção de Dados” ou “LGPD”), os quais estabelecem as sanções administrativas que poderão ser aplicadas pela ANPD após o processo fiscalizatório e sancionador em razão da desconformidade com a LGPD.

Seu objetivo é definir os critérios e parâmetros a serem considerados pela ANPD, para a aplicação e a dosimetria das sanções, devendo ser observado o direito ao devido processo legal e ao contraditório aos agentes fiscalizados. Com a sua vigência imediata, a ANPD poderá aplicar as sanções previstas em Lei e que careciam da regulamentação para a sua aplicação.

Abaixo apresentamos os principais pontos do Regulamento de Dosimetria e Aplicação de Sanções Administrativas e as alterações ao Regulamento do Processo de Fiscalização e do Processo Administrativo Sancionador.

1. REGULAMENTO DE DOSIMETRIA E APLICAÇÃO DE SANÇÕES ADMINISTRATIVAS

Com a publicação do Regulamento de Dosimetria e Aplicação de Sanções Administrativas, a ANPD estabelece em que circunstâncias as sanções descritas na LGPD serão aplicadas, quais sejam:

Tipos de penalidades:

  • Advertência;
  • Multa simples, de até 2% (dois por cento) do faturamento da empresa, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais), por infração;
  • Multa diária, com limite total de R$ 50.000.000,00 (cinquenta milhões de reais);
  • Publicização da infração;
  • Bloqueio dos dados pessoais;
  • Eliminação dos dados pessoais;
  • Suspensão parcial do funcionamento do banco de dados por no máximo de 6 (seis) meses, prorrogável por igual período, até que se regularize a situação;
  • Suspensão do exercício da atividade de tratamento dos dados pessoais por no máximo de 6 (seis) meses, prorrogável por igual período;
  • Proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.

Tipos de infração: a ANPD dividiu as infrações em leves, médias e graves, estabelecendo critérios objetivos para a caracterização de cada tipo de infração, além de informar para quais tipos de infração cada sanção poderá ser aplicada.

– Infrações leves: situações que não sejam consideradas infrações médias ou graves.

– Infrações médias: situações em que interesses e direitos fundamentais do titular forem afetados, caracterizadas nas situações em que a atividade de tratamento puder impedir ou limitar, de maneira significativa, o exercício de direitos ou a utilização de um serviço, assim como ocasionar danos materiais ou morais aos titulares, tais como discriminação; violação à integridade física; ao direito à imagem e à reputação; fraudes financeiras ou uso indevido de identidade, desde que não sejam classificadas como grave.

– Infrações graves: situações em que houver a verificação de situações consideradas infrações médias, cumulativamente a uma das seguintes situações: (i) envolver tratamento de dados pessoais em larga escala, caracterizado quando abranger número significativo de titulares, considerando-se, ainda, o volume de dados envolvidos, bem como a duração, a frequência e a extensão geográfica do tratamento realizado; (ii) o infrator auferir ou pretender auferir vantagem econômica em decorrência da infração cometida; (iii) implicar risco à vida dos titulares; (iv) envolver tratamento de dados sensíveis ou de dados pessoais de crianças, de adolescentes ou de idosos; (v) o infrator realizar tratamento de dados pessoais sem amparo em uma das hipóteses legais previstas na LGPD; (vi) o infrator realizar tratamento com efeitos discriminatórios ilícitos ou abusivos; ou (vii) verificada a adoção sistemática de práticas irregulares pelo infrator; ou situações que possam constituir obstrução à atividade de fiscalização.

Definição da sanção aplicada: para algumas sanções a ANPD definiu o tipo de infração para a qual a sanção deverá ser aplicada, o que é o caso da Advertência, que deverá ser aplicada nos casos em que (i) a infração for leve ou média e não caracterizar reincidência específica; ou (ii) houver necessidade de imposição de medidas corretivas, e da Multa Simples, que deverá ser aplicada nos casos em que (i) o infrator não tenha atendido as medidas preventivas ou corretivas a ele impostas, dentro dos prazos estabelecidos, quando aplicável; (ii) a infração for classificada como grave; ou (iii) pela natureza da infração, da atividade de tratamento ou dos dados pessoais, e pelas circunstâncias do caso concreto, não for adequado aplicar outra sanção.

O Regulamento apresenta as circunstâncias atenuantes e agravantes que serão observadas pela ANPD no processo sancionador, nos termos dos arts. 12 e 13 do Regulamento.

Ainda, foi definido que o prazo de pagamento da sanção de multa deverá ocorrer em até 20 (vinte) dias úteis contados a partir da ciência da decisão de aplicação da sanção, excetuado os agentes de tratamento de pequeno porte, que terão prazo de 40 (quarenta) dias.

Para todas as outras sanções não citadas acima, a ANPD se limitou a informar quais são as características da sanção e, em alguns casos, as situações que ensejariam tal aplicação, sem indicar se seriam aplicáveis a infrações leves, médias ou graves.

Definição do valor da multa: a ANPD estabeleceu no Regulamento a forma de definição do valor-base da multa simples, para cada infração cometida, sendo que os seguintes elementos deverão ser levado em conta de acordo com a metodologia incluída no Apêndice ao Regulamento: (i) a classificação da infração (se leve, média ou grave); (ii) o faturamento do infrator no último exercício disponível anterior à aplicação da sanção; e (iii) o grau do dano.

Reincidência: Importante observar que em caso de situações de reincidência, que são divididas em genéricas e específicas, a ANPD estabeleceu que é possível que a multa tenha um agravante imposto sobre ela, aumentando de 20% (vinte por cento) a 30% (trinta por cento), podendo ser cumulada até o limite de 90% (noventa por cento) do seu valor total. A reincidência genérica acontece quando o mesmo infrator descumpre alguma norma legal ou regulamentar, independentemente de qual, em igual período. Já a reincidência específica acontece quando um mesmo agente desrespeita a mesma regra no período de cinco anos, contados do trânsito em julgado até a data da nova infração.

2. REGULAMENTO DO PROCESSO DE FISCALIZAÇÃO E DO PROCESSO ADMINISTRATIVO SANCIONADOR:

As seguintes alterações foram realizadas no Regulamento do Processo de Fiscalização e do Processo Administrativo Sancionador:

Sanções para o não cumprimento de medidas preventivas: a ANPD incluiu ao processo as disposições sobre casos de não atendimento a medidas preventivas, caso em que (i) a ANPD poderá adotar outras medidas ou agir de modo mais repressivo; (ii) o descumprimento será considerado um agravante em caso de processo administrativo.

Fase de decisão pela Coordenação-Geral de Fiscalização: foi incluída ao procedimento a necessidade de especificação da obrigação de fazer ou não fazer quanto ao (i) prazo de execução e demonstração do cumprimento da medida; (ii) valor da multa, bem como prazo para pagamento.

Juízo de reconsideração: foi adicionada ao processo a necessidade de análise admissional dos pressupostos gerais para admitir o recurso por parte da Coordenação-Geral de Fiscalização antes da remessa do recurso ao Conselho Diretor.

O caráter repressivo da aplicação das sanções previstas na LGPD vem reforçar ainda mais a importância de garantir a observância e a conformidade com a Lei. Trata-se de um processo contínuo, necessário para acompanhar todas as atualizações e alterações dos processos organizacionais internos dos Agentes de Tratamento que envolvem os Titulares.

Para obter mais detalhes sobre este assunto, entre em contato com o time de proteção de dados do KLA Advogados. Estamos à disposição para consultas sobre as novas regras e para esclarecer quaisquer dúvidas.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.