O Regulamento de Dosimetria e Aplicação de Sanções Administrativas é a norma que além de prever regras específicas para a aplicação das sanções, visa estabelecer parâmetros e critérios para aplicação de penalidades por descumprimento à LGPD
● Gradação legal das infrações
- Grave – quando haja embaraço a fiscalização; envolva tratamento de dados pessoais; haja vantagem econômica em face da infração e implique risco à vida dos titulares; envolva dados sensíveis ou de dados pessoais de crianças, de adolescentes ou de idosos; quando temos várias práticas irregulares reiteradas pelo infrator; dentre outras
- Média – quando atingir interesses e direitos fundamentais dos titulares de dados pessoais
- Leve – quando não configurar nenhuma das hipóteses de infração grave ou média
Essa norma é vista como o último passo para regulamentar o art. 52 da Lei da LGPD para que com isso os infratores passem a ser responsabilizados.
Além de tratar e classificar a reincidência, a Resolução apresentou critérios para avaliação das sanções, dentre outros:
● Quanto a reincidência
- Específica – quando um mesmo agente desrespeita a mesma regra no período de cinco anos, do trânsito em julgado até a data da nova infração
- Genérica – quando o mesmo infrator descumpre alguma regra legal ou regulamentar, independentemente de qual, em igual período.
● Quanto aos critérios e tipos de sanção
- Advertência para casos de infração leve ou média e não caracterizar reincidência específica ou houver necessidade de imposição de medidas corretivas.
- Multa simples (teto de até 2% do faturamento, mas limitada a R$ 50 milhões) por infração, caso seja considerada grave, quando as medidas preventivas ou corretivas não tiverem sido atendidas ou pela natureza da infração, da atividade de tratamento ou dos dados pessoais e pelas circunstâncias do caso concreto.
- A multa simples poderá ser agravada em até 30% em casos de reincidência específica ou genérica e em casos descumprimento de orientação ou medida preventiva.
- A redução da multa em até 75% em casos de cessação da infração, comprovando: política de boas práticas e de governança; demonstração de procedimentos capazes de minimizar os danos aos titulares; e ou a comprovação de medidas capazes de reverter ou mitigar os efeitos da infração.
- Multa diária pode ser aplicada para assegurar cumprimento de alguma obrigação em prazo certo, em caso de ausência de correção de desconformidades, dificultar a fiscalização, ou ainda pelo cometimento de infração permanente não cessada.
- Poderá haver redução de multa nos casos que específica quando há renúncia ao direito de recorrer da decisão de primeira instância.
- Poderá ocorrer bloqueio dos dados pessoais relacionados à infração até a sua regularização.
- Exclusão do dado ou de conjunto de dados armazenados em banco de dados, que devem ser igualmente comunicados à ANPD em caso de infrações,
- Suspensão parcial do funcionamento do banco de dados relacionado à infração pelo período máximo de 06 meses, prorrogável por igual período, até a regularização da atividade de tratamento dos dados pelo controlador. Suspensão do exercício da atividade de tratamento dos dados pessoais –
- Proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados quando há: reincidência em infração punida com suspensão parcial do banco de dados ou da atividade de tratamento dos dados pessoais; quando ocorrer tratamento de dados pessoais com fins ilícitos ou sem amparo em hipótese legal; ou quando não atender às condições técnicas e operacionais para manter o adequado tratamento de dados pessoais.
● Limitações de algumas sanções
- As sanções de suspensão parcial do funcionamento do banco de dados, suspensão do exercício da atividade de tratamento dos dados pessoais e proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados somente serão aplicadas após já ter sido imposta ao menos uma das demais sanções para o mesmo caso concreto. Nesses casos a ANPD vai dar ciência e ouvir a entidade reguladora setorial para que se manifeste sobre as implicações da sanção para o exercício da atividade econômica.
- As sanções poderão ser aplicadas às entidades e aos órgãos públicos, com exceção das sanções que preveem aplicação de multa; e
● Parâmetros legais (agravantes e atenuantes) na aplicação das penalidades
– gravidade e a natureza das infrações e dos direitos pessoais afetados;
– vantagem auferida ou pretendida pelo infrator;
– condição econômica do infrator;
– reincidência específica;
– boa-fé do infrator;
– reincidência genérica;
– grau do dano;
– adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados, de acordo com a LGPD;
– cooperação do infrator;
– adoção de política de boas práticas e governança;
– pronta adoção de medidas corretivas; e
– proporcionalidade entre a gravidade da falta e a intensidade da sanção.
● Metodologia de cálculo das sanções
A ANPD descreve no apêndice I do regulamento que trata da classificação da informação, do faturamento do infrator e do grau do dano para cálculo da multa, também a metodologia:
- A metodologia para os cálculos para sanção de multa nos casos em que a vantagem auferida seja estimávelserá o dobro da vantagem com a observância dos limites mínimo e máximo da multa: de R$ 1 mil a R$ 4 mil, para infratores pessoa natural ou pessoa jurídica sem faturamento, e de R$ 3 mil a R$ 12 mil, para demais tipos de pessoa jurídica.
- Para infrações leves, as alíquotas variam de 0,08% a 0,15% do faturamento.
- Para as infrações médias as alíquotas estão entre 0,13% e 0,5%.
- Para infrações graves os valores vão de 0,45% a 1,5%. Na seção, também está descrito o grau do dano, que será usado em uma fórmula matemática para o cálculo da multa.
- Em suma: Reincidências e cumprimentos parciais de medidas ensejam aumentos de 5% a 90% no valor das multas aplicadas. Atenuantes podem reduzir o valor de 5% a 75%. Renúncia expressa ao direito de recorrer garante redução de 25%.
Essas são algumas das principais disposições que foram objeto de regulamentação pela ANPD através da Resolução CD/ANPD 04 de 24.02.2023 publicada no DOU de 27.02.23.
Como à partir de agora a Autoridade Nacional poderá aplicar também punições aos infratores que não se adequarem às disposições da Lei Geral de Proteção de Dados Pessoais – LGPD, com o bloqueio ou a eliminação definitiva dos dados pessoais irregularmente tratados, isso já vem despertando uma corrida de algumas empresas em busca de revisão de suas políticas, relações, contratos e etc, visando adequação : https://www.convergenciadigital.com.br/Governo/Legislacao/Regra-para-multas-provoca-corrida-de-adequacao-a-LGPD-62629.html?utm_smid=10437709-1-1
A ANPD já começou a julgar o primeiro estoque de processos, razão pela qual recomendamos as Empresas que ainda não se adequaram à Lei Geral de Proteção de Dados para que busquem se adequar.
Ficamos à disposição para as repercussões desse tema e para maiores informações junto ao departamento de relações do trabalho do Escritório.