Em 27 de fevereiro, A Autoridade Nacional de Proteção de Dados (ANPD) finalmente publicou o Regulamento de Dosimetria e Aplicação de Sanções Administrativas, estabelece as diretrizes utilizadas na dosimetria de penas, especialmente  calcular o valor-base das sanções de multa a serem atribuídas por aquela agência. Trata-se de iniciativa do relator e diretor da ANPD – Arthur Sabbat, na qual foi acompanhado de forma unânime pelo restante do colegiado. Embora os critérios expostos abaixo estabeleçam diretrizes claras, a ANPD poderá afastar a sua metodologia ou substituir a pena, caso seja constatado prejuízo à proporcionalidade entre a gravidade da infração e a intensidade da sanção.

As sanções administrativas a serem aplicadas pela ANPD por violações à Lei Geral de Proteção de Dados (LGPD), dividem-se em:

TIPOS DE SANÇÕES ADMINISTRATIVAS HIPÓTESES CABÍVEIS

1. Advertência 1. A infração for leve ou média e não caracterizar reincidência específica, ou

2. Houver necessidade de imposição de medidas corretivas.

2. Multa Simples 1. O infrator não tenha atendido as medidas preventivas ou corretivas a ele impostas, dentro dos prazos estabelecidos, quando aplicável;

2. A infração for classificada como grave; ou

3. Pela natureza da infração, da atividade de tratamento ou dos dados pessoais, e pelas circunstâncias do caso concreto, não for adequado aplicar outra sanção.

3. Multa Diária (aplicada de forma acumulada, até R$ 50 milhões) 1. Após notificado do cometimento de irregularidades que tenham sido praticadas, deixar de saná-las no prazo assinalado;

2. Praticar obstrução à atividade de fiscalização, desde que a aplicação da multa diária seja necessária para desobstruí-la; ou

3. Praticar infração permanente não cessada até a decisão.

4. Publicização da Infração A ANPD poderá aplicar ao infrator a sanção de publicização, considerando a relevância e o interesse público da matéria.

5. Bloqueio dos Dados Pessoais a que se refere a Infração, até sua Regularização A ANPD poderá aplicar ao infrator a sanção de bloqueio dos dados pessoais.

6. Eliminação dos Dados Pessoais a que se refere a Infração A ANPD poderá aplicar ao infrator a sanção de eliminação dos dados pessoais a que se refere a infração, o que consiste na exclusão de dado ou de conjunto de dados armazenados em banco de dados.

7. Suspensão Parcial do Banco de Dados a que se refere a Infração A ANPD poderá aplicar ao infrator a sanção de suspensão parcial do funcionamento do banco de dados a que se refere a infração, pelo prazo máximo de 6 meses (sendo considerado o interesse público, o impacto aos direitos dos titulares de dados pessoais, a classificação da infração e a complexidade para regularização da atividade de tratamento pelo infrator), com o fim de suspender o funcionamento em desacordo com a legislação de proteção de dados pessoais.

8. Suspensão do Exercício da Atividade de Tratamento dos Dados Pessoais A ANPD poderá aplicar ao infrator a sanção de suspensão do exercício de atividade de tratamento dos dados pessoais, aplicável pelo período máximo de 6 meses (sendo considerado o interesse público, o impacto aos direitos dos titulares de dados pessoais e a classificação da infração), prorrogável pelo mesmo período.

9. Proibição Parcial ou Total do Exercício de Atividades relacionadas a Tratamento de Dados 1. Houver reincidência em infração punida com suspensão parcial do funcionamento do banco de dados ou suspensão do exercício da atividade de tratamento dos dados pessoais;

2. Ocorrer tratamento de dados pessoais com fins ilícitos, ou sem amparo em hipótese legal; ou

3. O infrator perder ou não atender as condições técnicas e operacionais para manter o adequado tratamento de dados pessoais.

* As sanções 7 a 9 somente serão aplicadas após já ao menos uma das sanções de 2 a 6 ter sido imposta.

É importante salientar que todas as penalidades serão aplicadas somente de forma gradativa, isolada ou cumulativamente, após procedimento administrativo e mediante decisão fundamentada da ANPD. Será assegurado o direito à ampla defesa, ao contraditório e ao devido processo legal; sendo certo que, se houver mais de um infrator, a aplicação das penas será feita sempre de forma individualizada.

O descumprimento pela parte violadora fará ANPD a adotar sanções mais graves, sem prejuízo de medidas legais cabíveis, já que as sanções são aplicadas em âmbito administrativo.

Os seguintes parâmetros e critérios devem ser levados em consideração na definição da sanção:

PARÂMETROS E CRITÉRIOS

1. A gravidade e a natureza das infrações e dos direitos pessoais afetados;

2. A boa-fé do infrator;

3. A vantagem auferida ou pretendida pelo infrator;

4. A condição econômica do infrator;

5. A reincidência específica;

6. A reincidência genérica;

7. O grau do dano;

8. A cooperação do infrator;

9. A adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados, em consonância com a LGPD;

10. A adoção de política de boas práticas e governança;

11. A pronta adoção de medidas corretivas;

12. A proporcionalidade entre a gravidade da falta e a intensidade da sanção;

As infrações são classificadas como leves, médias ou graves segundo a sua natureza e gravidade conforme os conceitos abaixo:

CLASSIFICAÇÃO DAS INFRAÇÕES DEFINIÇÃO

Infrações Graves 1. Quando apresentarem qualquer característica das infrações médias e, ao menos, uma das características abaixo:

a) envolver o tratamento de dados pessoais em larga escala, caracterizado quando abranger número significativo de titulares, considerando-se, ainda, o volume de dados envolvidos, bem como a duração, a frequência e a extensão geográfica do tratamento realizado;

b) o infrator auferir ou pretender auferir vantagem econômica em decorrência da infração cometida;

c) a infração implicar risco à vida dos titulares;

d) a infração envolver tratamento de dados sensíveis ou de dados pessoais de crianças, de adolescentes ou de idosos;

e) o infrator realizar tratamento de dados pessoais sem amparo em uma das hipóteses legais previstas na LGPD;

f) o infrator realizar tratamento com efeitos discriminatórios ilícitos ou abusivos; ou

g) verificada a adoção sistemática de práticas irregulares pelo infrator;

2. Quando constituírem obstrução à atividade de fiscalização.

Infrações Médias Quando puderem afetar significativamente interesses e direitos fundamentais dos titulares de dados pessoais, caracterizada nas situações em que a atividade de tratamento puder impedir ou limitar, de maneira significativa, o exercício de direitos ou a utilização de um serviço, assim como ocasionar danos materiais ou morais aos titulares, tais como discriminação, violação à integridade física, ao direito à imagem e à reputação, fraudes financeiras ou uso indevido de identidade, desde que não sejam classificados como grave.

Infrações Leves Quando não tiverem quaisquer características citadas acima.

Merece destaque a definição do valor-base da multa simples, na qual os seguintes elementos devem ser considerados:

ELEMENTOS PARA A DEFINIÇÃO DO VALOR-BASE DE MULTA

1. A classificação da infração;

2. O faturamento do infrator no último exercício disponível anterior à aplicação da sanção, excluídos os tributos, relativo ao ramo de atividade empresarial em que ocorreu a infração; e

3. O grau do dano.

A definição do valor-base de Multa será acrescido ou reduzido de acordo com as circunstâncias agravantes ou atenuantes abaixo descritas, resguardados os limites mínimos e máximos previstos às sanções na LGPD. Começando pelas circunstâncias mais agravantes:

CIRCUNSTÂNCIAS AGRAVANTES PERCENTUAL DE ACRÉSCIMO

Reincidência Específica 10% até o limite de 40%

Reincidência Genérica 5% até o limite de 20%

Cada medida de orientação ou preventiva descumprida no processo de fiscalização ou do procedimento preparatório que precedeu o processo administrativo sancionador 20% até o limite de 80%

Cada medida corretiva descumprida 30% até o limite de 90%

* Havendo incidência de mais de uma circunstância agravante, os percentuais devem ser aplicados cumulativamente.

Agora passamos às circunstâncias atenuantes:

CIRCUNSTÂNCIAS ATENUANTES PERCENTUAL DE REDUÇÃO

Casos de Cessação da Infração a) 75% se previamente à instauração de procedimento preparatório pela ANPD;

b) 50% se após a instauração de procedimento preparatório e até a instauração de processo administrativo sancionador; ou

c) 30% se após a instauração de processo administrativo sancionador e até a prolação da decisão de primeira instância no âmbito do processo administrativo sancionador;

Casos de implementação de política de boas práticas e de governança ou de adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar os danos aos titulares, voltados ao tratamento seguro e adequado de dados, até a prolação da decisão de primeira instância no âmbito do processo administrativo sancionador 20%

Casos em que o infrator tenha comprovado a implementação de medidas capazes de reverter ou mitigar os efeitos da infração sobre os titulares de dados pessoais afetados a) 20%, previamente à instauração de procedimento preparatório ou processo administrativo sancionador pela ANPD; ou

b) 10% se após a instauração de procedimento preparatório e até a instauração de processo administrativo sancionador.

Casos em que se verifique a cooperação ou boa-fé por parte do infrator. 5%

* Havendo incidência de mais de uma circunstância atenuante, os percentuais devem ser aplicados cumulativamente.

Trata-se, portanto, de uma iniciativa louvável por parte da ANPD de tentar mitigar a subjetividade na aplicação das sanções administrativas a serem impostas pela agência quando houver a necessidade de penalizar alguma violação à proteção de dados pessoais de titulares.

‍

‍