A Autoridade Nacional de Proteção de Dados (ANPD) publicou na segunda-feira do dia 27/02/2023, a Resolução CD/ANPD nº 4, de 24 de fevereiro de 2023 que aprova o Regulamento de Dosimetria e Aplicação de Sanções Administrativas.
O regulamento tem por objetivo estabelecer parâmetros e critérios para aplicação de sanções administrativas pela Autoridade Nacional de Proteção de Dados (ANPD), bem como as formas e dosimetrias para o cálculo do valor-base das sanções de multa, regulamentando também os artigos 52 e 53 da LGPD.
Segundo o disposto no site do gov.br, a dosimetria é o método que orienta a escolha da sanção mais apropriada para cada caso em que houver violação a LGPD, possibilitando calcular (se for o caso) o valor da multa aplicável ao infrator.
A norma então estabelece “as circunstâncias, as condições e os métodos de aplicação das sanções, considerando, dentre outros aspectos, o dano ou o prejuízo causado aos titulares de dados pelo descumprimento à Lei Geral de Proteção de Dados Pessoais – LGPD”, servindo como garantia da “proporcionalidade entre a sanção aplicada e a gravidade da conduta do agente”, do direito ao contraditório e do devido processo legal.
O regulamento traça, no seu art. 2º, algumas definições essenciais para o entendimento dos demais regramentos dispostos nos artigos seguintes, como por exemplo a definição de “reincidência específica” e “reincidência genérica”, as quais terão importância quando da análise dos fatores agravantes e atenuantes para cálculo do valor da multa a ser aplicada em caso de infração.
Sendo, portanto, a reincidência específica definida como “repetição de infração pelo mesmo infrator ao mesmo dispositivo legal ou regulamentar, no período de 5 (cinco) anos, contado do trânsito em julgado do processo administrativo sancionador, até a data do cometimento da nova infração” e a reincidência genérica o “cometimento de infração pelo mesmo infrator, independentemente do dispositivo legal ou regulamentar, no período de 5 (cinco) anos, contado do trânsito em julgado do processo administrativo sancionador até a data do cometimento da nova infração”.
Definido ainda o trânsito em julgado como sendo “atributo de decisão definitiva proferida em processo administrativo sancionador, no âmbito da ANPD, tornando-a imutável e indiscutível dentro do processo em que foi proferida”.
Na subseção I, o regulamento traz os regramentos referentes a definição do valor-base das multas a serem aplicadas aos infratores, considerando elementos como: a classificação da infração; o faturamento do infrator no último exercício disponível anterior à aplicação da sanção e o grau do dano.
Já na subseção II, são reguladas as circunstâncias agravantes, atenuantes para cálculo do valor da multa a ser aplicada ao infrator. Nos casos de incidência de circunstâncias agravantes, o valor da multa simples será acrescido de percentuais como:
• 10% (dez por cento) para cada caso de reincidência específica, até o limite de 40% (quarenta por cento);
• 5% (cinco por cento) para cada caso de reincidência genérica, até o limite de 20% (vinte por cento);
• 20% (vinte por cento) para cada medida de orientação ou preventiva descumprida no processo de fiscalização ou do procedimento preparatório que precedeu o processo administrativo sancionador, até o limite de 80% (oitenta por cento) e;
• 30% (trinta por cento) para cada medida corretiva descumprida, até o limite de 90% (noventa por cento).
Sendo que, na hipótese de incidência de mais de uma das circunstâncias agravantes, os percentuais relativos a cada circunstância poderão ser somados.
Já para as circunstâncias atenuantes, o valor da multa simples poderá ser reduzido nos casos de:
a) cessação da infração, em 75% (setenta e cinco por cento), se previamente à instauração de procedimento preparatório pela ANPD; em 50% (cinquenta por cento), se após a instauração de procedimento preparatório e até a instauração de processo administrativo sancionador; e 30% (trinta por cento), se após a instauração de processo administrativo sancionador e até a prolação da decisão de primeira instância no âmbito do processo administrativo sancionador;
b) nos casos de implementação de política de boas práticas e de governança ou de adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar os danos aos titulares, voltados ao tratamento seguro e adequado de dados, até a prolação da decisão de primeira instância no âmbito do processo administrativo sancionador (regras de boas práticas e de governança, nos termos do art. 50, caput e § 1º, da LGPD e/ou programa de governança em privacidade, nos termos do § 2º do art. 50 da LGPD) em 20% (vinte por cento) ou 10% (dez por cento), se após a instauração de procedimento preparatório e até a instauração de processo administrativo sancionador;
c) nos casos em que o infrator tenha comprovado a implementação de medidas capazes de reverter ou mitigar os efeitos da infração sobre os titulares de dados pessoais afetados em 20% (vinte por cento), se previamente à instauração de procedimento preparatório ou processo administrativo sancionador pela ANPD ou em 10% (dez por cento), se após a instauração de procedimento preparatório e até a instauração de processo administrativo sancionador; e, por fim,
d) nos casos em que se verifique a cooperação ou boa-fé por parte do infrator em 5% (cinco por cento).
A análise das circunstâncias agravantes e atenuantes regulamentadas pela resolução da ANPD, torna ainda mais evidente a necessidade e importância que as empresas devem dar para as questões relacionadas ao tratamento dos dados pessoais e aos regramentos estabelecidos na Lei Geral de Proteção de Dados Pessoais.Por óbvio que as empresas devem implementar e manter sempre atualizadas as práticas e soluções de segurança, técnicas e administrativas para garantir a proteção dos dados e documentos coletados e tratados para evitar acessos não autorizados e situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito de forma a evitar quaisquer sanções previstas na LGPD.
Mas, na eventualidade de um incidente, tal premissa mantém sua importância. Isto porque ações como a implementação de política de boas práticas e de governança ou de adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar danos, a mitigação de efeitos da infração sobre os titulares de dados pessoais afetados, a cooperação e a boa-fé, são circunstâncias que possibilitarão que a empresa reduza o valor da multa na eventualidade de um incidente.
Importa referir, ainda, que o regulamento também prevê a possibilidade de aplicação (e regramentos) das sanções de publicização (divulgação da infração), considerando a relevância e o interesse público da matéria, o bloqueio dos dados pessoais (suspensão temporária de qualquer operação de tratamento com os dados pessoais a que se refere a infração, mediante a sua guarda, até a regularização da conduta pelo infrator), a eliminação dos dados pessoais, a suspensão parcial do funcionamento do banco de dados a que se refere a infração, a suspensão do exercício de atividade de tratamento dos dados pessoais e a proibição do exercício de atividades relacionadas a tratamento de dados pessoais.
Portanto, é fundamental para evitar as sanções legais ou, ao menos, mitigá-las, que seja realizada, de modo permanente e contínuo, a avaliação de impacto à proteção dos dados pessoais coletados e tratados, bem mantido o plano de contingência para mitigação dos riscos de vazamento de tais dados.
Sendo assim, a partir de agora a ANPD poderá aplicar as sanções administrativas com base em requisitos claros e estabelecidos, pois o regulamento entra em vigor imediatamente após a sua publicação.