A Autoridade Nacional de Proteção de Dados (ANPD) publicou no dia 27.02.2023 o Regulamento que estabelece parâmetros e critérios para aplicação de sanções administrativas.

• Leia aqui a íntegra da norma de dosimetria publicada no Diário Oficial da União (DOU).

O Regulamento de Dosimetria e Aplicação de Sanções Administrativas é a norma que além de prever regras específicas para a aplicação das sanções, visa estabelecer parâmetros e critérios para aplicação de penalidades por descumprimento à LGPD

● Gradação legal das infrações

• Grave – quando haja embaraço a fiscalização; envolva tratamento de dados pessoais; haja vantagem econômica em face da infração e implique risco à vida dos titulares; envolva dados sensíveis ou de dados pessoais de crianças, de adolescentes ou de idosos; quando temos várias práticas irregulares reiteradas pelo infrator; dentre outras
• Média – quando atingir interesses e direitos fundamentais dos titulares de dados pessoais
• Leve – quando não configurar nenhuma das hipóteses de infração grave ou média

Essa norma é vista como o último passo para regulamentar o art. 52 da Lei da LGPD para que com isso os infratores passem a ser responsabilizados.

Além de tratar e classificar a reincidência, a Resolução apresentou critérios para avaliação das sanções, dentre outros:

● Quanto a reincidência

• Específica – quando um mesmo agente desrespeita a mesma regra no período de cinco anos, do trânsito em julgado até a data da nova infração
• Genérica – quando o mesmo infrator descumpre alguma regra legal ou regulamentar, independentemente de qual, em igual período.

● Quanto aos critérios e tipos de sanção

• Advertência para casos de infração leve ou média e não caracterizar reincidência específica ou houver necessidade de imposição de medidas corretivas.
• Multa simples (teto de até 2% do faturamento, mas limitada a R$ 50 milhões) por infração, caso seja considerada grave, quando as medidas preventivas ou corretivas não tiverem sido atendidas ou pela natureza da infração, da atividade de tratamento ou dos dados pessoais e pelas circunstâncias do caso concreto.
• A multa simples poderá ser agravada em até 30% em casos de reincidência específica ou genérica e em casos descumprimento de orientação ou medida preventiva.
• A redução da multa em até 75% em casos de cessação da infração, comprovando:  política de boas práticas e de governança; demonstração de procedimentos capazes de minimizar os danos aos titulares; e ou a comprovação de medidas capazes de reverter ou mitigar os efeitos da infração.
• Multa diária pode ser aplicada para assegurar cumprimento de alguma obrigação em prazo certo, em caso de ausência de correção de desconformidades, dificultar a fiscalização, ou ainda pelo cometimento de infração permanente não cessada.
•  Poderá haver redução de multa nos casos que específica quando há renúncia ao direito de recorrer da decisão de primeira instância.
• Poderá ocorrer bloqueio dos dados pessoais relacionados à infração até a sua regularização.
• Exclusão do dado ou de conjunto de dados armazenados em banco de dados, que devem ser igualmente comunicados à ANPD em caso de infrações,
• Suspensão parcial do funcionamento do banco de dados relacionado à infração pelo período máximo de 06 meses, prorrogável por igual período, até a regularização da atividade de tratamento dos dados pelo controlador. Suspensão do exercício da atividade de tratamento dos dados pessoais – 
• Proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados quando há: reincidência em infração punida com suspensão parcial do banco de dados ou da atividade de tratamento dos dados pessoais; quando ocorrer tratamento de dados pessoais com fins ilícitos ou sem amparo em hipótese legal; ou quando não atender às condições técnicas e operacionais para manter o adequado tratamento de dados pessoais.

● Limitações de algumas sanções

• As sanções de suspensão parcial do funcionamento do banco de dados, suspensão do exercício da atividade de tratamento dos dados pessoais e proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados somente serão aplicadas após já ter sido imposta ao menos uma das demais sanções para o mesmo caso concreto. Nesses casos a ANPD vai dar ciência e ouvir a entidade reguladora setorial para que se manifeste sobre as implicações da sanção para o exercício da atividade econômica.

• As sanções poderão ser aplicadas às entidades e aos órgãos públicos, com exceção das sanções que preveem aplicação de multa; e

● Parâmetros legais (agravantes e atenuantes) na aplicação das penalidades

–  gravidade e a natureza das infrações e dos direitos pessoais afetados;

–  vantagem auferida ou pretendida pelo infrator;

– condição econômica do infrator;

– reincidência específica;

– boa-fé do infrator;

– reincidência genérica;

– grau do dano;

– adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados, de acordo com a LGPD;

– cooperação do infrator;

– adoção de política de boas práticas e governança;

– pronta adoção de medidas corretivas; e

– proporcionalidade entre a gravidade da falta e a intensidade da sanção.

● Metodologia de cálculo das sanções

A ANPD descreve no apêndice I do regulamento que trata da classificação da informação, do faturamento do infrator e do grau do dano para cálculo da multa, também a metodologia:

• A metodologia para os cálculos para sanção de multa nos casos em que a vantagem auferida seja estimávelserá o dobro da vantagem com a observância dos limites mínimo e máximo da multa: de R$ 1 mil a R$ 4 mil, para infratores pessoa natural ou pessoa jurídica sem faturamento, e de R$ 3 mil a R$ 12 mil, para demais tipos de pessoa jurídica.
• Para infrações leves, as alíquotas variam de 0,08% a 0,15% do faturamento.
•  Para as infrações médias as alíquotas estão entre 0,13% e 0,5%.
• Para infrações graves os valores vão de 0,45% a 1,5%. Na seção, também está descrito o grau do dano, que será usado em uma fórmula matemática para o cálculo da multa.
• Em suma:  Reincidências e cumprimentos parciais de medidas ensejam aumentos de 5% a 90% no valor das multas aplicadas. Atenuantes podem reduzir o valor de 5% a 75%. Renúncia expressa ao direito de recorrer garante redução de 25%. 

Essas são algumas das principais disposições que foram objeto de regulamentação pela ANPD através da Resolução CD/ANPD 04 de 24.02.2023 publicada no DOU de 27.02.23.

Como à partir de agora a Autoridade Nacional poderá aplicar também punições aos infratores que não se adequarem às disposições da Lei Geral de Proteção de Dados Pessoais – LGPD, com o bloqueio ou a eliminação definitiva dos dados pessoais irregularmente tratados, isso já vem despertando uma corrida de algumas empresas em busca de revisão de suas políticas, relações, contratos e etc, visando adequação : https://www.convergenciadigital.com.br/Governo/Legislacao/Regra-para-multas-provoca-corrida-de-adequacao-a-LGPD-62629.html?utm_smid=10437709-1-1

A ANPD já começou a julgar o primeiro estoque de processos, razão pela qual recomendamos as Empresas que ainda não se adequaram à Lei Geral de Proteção de Dados para que busquem se adequar.

Ficamos à disposição para as repercussões desse tema e para maiores informações junto ao departamento de relações do trabalho do Escritório.