O Regulamento de Dosimetria e Aplicação de Sanções Administrativas publicado pela ANPD (Resolução CD/ANPD nº 04/2023)
A Resolução CD/ANPD nº 04/2023, publicada em 24 de fevereiro de 2023 estabeleceu o Regulamento de Dosimetria e Aplicação de Sanções Administrativas, estabelecendo parâmetros e critérios para aplicação de sanções administrativas pela Autoridade Nacional de Proteção de Dados (ANPD), bem como as formas e dosimetrias para o cálculo do valor base das sanções de multa (artigo 1º).
As sanções administrativas previstas no artigo 3º da Lei serão aplicadas observada a infração cometida no caso concreto:
-
Aplicação de advertência: (i) a infração for leve ou média e não caracterizar reincidência específica; ou (ii) houver necessidade de imposição de medidas corretivas (Artigo 9º);
-
Aplicação de multa simples: (i) o infrator não tenha atendido as medidas preventivas ou corretivas a ele impostas, dentro dos prazos estabelecidos, quando aplicável; (ii) a infração for classificada como grave; ou (iii) pela natureza da infração, da atividade de tratamento ou dos dados pessoais, e pelas circunstâncias do caso concreto, não for adequado aplicar outra sanção (Artigo 10º);
-
Aplicação de multa diária: aplicada quando necessária para assegurar o cumprimento, em prazo certo, de uma sanção não pecuniária ou de uma determinação estabelecida pela ANPD, observados: (i) o limite total previsto no art. 52, inciso II, da LGPD, por infração; (ii) a classificação da infração; e (iii) o grau do dano, nos termos do Apêndice I do Regulamento (Artigo 16);
-
Publicização da infração: é sanção aplicada considerando a relevância e o interesse público da matéria, a qual estabelecerá (i) na divulgação da infração pelo próprio infrator, após devidamente apurada e confirmada a sua ocorrência; (ii) a indicação do teor, o meio, a duração e o prazo para o seu cumprimento; destaca-se que os ônus relacionados à publicização da infração serão suportados exclusivamente pelo infrator (Artigos 20 e 21);
-
Bloqueio dos dados pessoais: (i) a sanção de bloqueio dos dados pessoais consiste na suspensão temporária de qualquer operação de tratamento com os dados pessoais a que se refere a infração, mediante a sua guarda, até a regularização da conduta pelo infrator; (ii) assim que intimado da sanção, deverá o infrator comunicar imediatamente o bloqueio dos dados aos agentes de tratamento com os quais tenha realizado uso compartilhado de dados, para que repitam idêntico procedimento, exceto nos casos em que esta comunicação seja comprovadamente impossível ou implique esforço desproporcional, hipóteses que serão avaliadas pela ANPD; (iii) após a regularização da conduta, deverá o infrator comprová-la junto à ANPD, para que seja autorizado a efetuar o desbloqueio dos dados pessoais (Artigo 22).
-
Eliminação dos dados pessoais: aplicação de sanção de eliminação dos dados pessoais a que se refere a infração, na qual consiste em (i) eliminação dos dados pessoais consiste na exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado; (ii) assim que intimado da sanção, deverá o infrator comunicar imediatamente o bloqueio dos dados aos agentes de tratamento com os quais tenha realizado uso compartilhado de dados, para que repitam idêntico procedimento, exceto nos casos em que esta comunicação seja comprovadamente impossível ou implique esforço desproporcional, hipóteses que serão avaliadas pela ANPD (Artigo 23);
-
Suspensão parcial do funcionamento do banco de dados: esta sanção prevê (i) a suspensão do banco de dados em desacordo com a legislação de proteção de dados pessoais; (ii) a duração pelo período máximo de seis meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo Controlador, levando em consideração a complexidade para regularização e a classificação da infração; (iii) o prazo será determinado considerando-se o interesse público, o impacto aos direitos dos titulares de dados pessoais, a classificação da infração e a complexidade para regularização da atividade de tratamento pelo infrator; (iv) o infrator deverá comprovar a regularização da atividade de tratamento, para o restabelecimento do funcionamento do banco de dados suspendido (Artigo 24);
-
Suspensão do exercício de atividade de tratamento de dados pessoais: a sanção tem o objetivo de (i) suspender o exercício de atividade de tratamento dos dados pessoais a que se refere a infração, com o fim de assegurar o cumprimento das normas legais e regulamentares, e será aplicada pelo período máximo de 6 (seis) meses, prorrogável por igual período, levando-se em consideração para determinar esse prazo (ii) o interesse público, o impacto aos direitos dos titulares de dados pessoais, a classificação da infração e a complexidade para regularização da atividade de tratamento pelo infrator (Artigo 25);
-
Proibição parcial ou total do exercício de atividades relacionadas ao tratamento de dados pessoais: esta sanção consiste no impedimento parcial ou total das operações de tratamento de dados pessoais, e poderá ser aplicada nos casos em que: (i) houver reincidência em infração punida com suspensão parcial do funcionamento do banco de dados ou suspensão do exercício da atividade de tratamento dos dados pessoais; (ii) ocorrer tratamento de dados pessoais com fins ilícitos, ou sem amparo em hipótese legal; ou (iii) o infrator perder ou não atender as condições técnicas e operacionais para manter o adequado tratamento de dados pessoais (Artigo 26).
Destaca-se que as sanções de suspensão parcial do funcionamento de banco de dados pessoais, suspensão do exercício de atividade de tratamento de dados pessoais e proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados pessoais somente serão aplicadas após ter sido imposta ao menos uma das sanções para o mesmo caso concreto. Ressalto aqui que a aplicação das sanções deve ter como fundamento determinada atividade de tratamento de dados pessoais.
A reincidência permite a ANPD dar ciência ao principal órgão ou entidade reguladora setorial (e que tenha competências sancionatórias) a que esteja submetido o Controlador, para que se manifeste sobre eventuais consequências da imposição das sanções para o exercício de atividades econômicas reguladas, especialmente na prestação de serviços públicos, assim como forneça outras informações que entender pertinentes, no prazo de até 20 dias úteis, sendo prorrogável por uma única vez em igual período e possibilitando ao infrator se manifestar sobre as informações apresentadas pelo órgão ou entidade reguladora setorial em suas alegações finais (§§ 2º, 3º e 4º, Artigo 3º).
As sanções serão aplicadas após o procedimento administrativo mediante decisão fundamentada da ANPD, assegurado o direito à ampla defesa, ao contraditório e ao devido processo legal (Artigo 4º). Tais sanções serão aplicadas de forma gradativa, isolada ou cumulativamente, de acordo com as peculiaridades do caso concreto (Artigo 5º).
A aplicação de sanção não exclui a possibilidade de adoção de outras medidas administrativas pela ANPD, previstas na LGPD, e no Regulamento do Processo de Fiscalização e do Processo Administrativo Sancionador, sendo a intimação e contagem dos prazos realizadas conforme o disposto na da Resolução CD/ANPD nº 1/2021 (Artigo 8º e seguintes).
Adiante, no artigo 7º, definem-se os parâmetros e critérios para definição da sanção[1], classificadas segundo a gravidade (leve, media ou grave) e a natureza das infrações e dos direitos pessoais afetados.
Será considerada grave quando a infração puder afetar significativamente interesses e direitos fundamentais dos titulares de dados pessoais, caracterizada nas situações em que a atividade de tratamento puder impedir ou limitar, de maneira significativa, o exercício de direitos ou a utilização de um serviço, assim como ocasionar danos materiais ou morais aos titulares, tais como discriminação; violação à integridade física; ao direito à imagem e à reputação; fraudes financeiras ou uso indevido de identidade, cumulando-se esta conduta com as seguintes hipóteses, bem como constituir obstrução à atividade de fiscalização:
a) envolver tratamento de dados pessoais em larga escala, caracterizado quando abranger número significativo de titulares, considerando-se, ainda, o volume de dados envolvidos, bem como a duração, a frequência e a extensão geográfica do tratamento realizado; b) o infrator auferir ou pretender auferir vantagem econômica em decorrência da infração cometida; c) a infração implicar risco à vida dos titulares; d) a infração envolver tratamento de dados sensíveis ou de dados pessoais de crianças, de adolescentes ou de idosos; e) o infrator realizar tratamento de dados pessoais sem amparo em uma das hipóteses legais previstas na LGPD; f) o infrator realizar tratamento com efeitos discriminatórios ilícitos ou abusivos; ou g) verificada a adoção sistemática de práticas irregulares pelo infrator (§ 3º, Artigo 8º).
Será considerada média quando a infração puder afetar significativamente interesses e direitos fundamentais dos titulares de dados pessoais, caracterizada nas situações em que a atividade de tratamento puder impedir ou limitar, de maneira significativa, o exercício de direitos ou a utilização de um serviço, assim como ocasionar danos materiais ou morais aos titulares, tais como discriminação; violação à integridade física; ao direito à imagem e à reputação; fraudes financeiras ou uso indevido de identidade, desde que não seja classificada como grave.
E será considerada leve quando não verificada nenhuma das hipóteses relacionadas às de natureza média e grave.
Quando se tratar de aplicação de multa simples, observar-se- á os seguintes elementos:
I – a classificação da infração:
II – o faturamento do infrator no último exercício disponível anterior à aplicação da sanção, excluídos os tributos de que trata o inciso III do § 1º do art. 12 do Decreto-Lei nº 1.598, de 26 de dezembro de 1977 (tributos incidentes sobre a receita líquida), relativo ao ramo de atividade empresarial em que ocorreu a infração; e
III – o grau do dano, nos termos do Apêndice I da Resolução CD/ANPD nº 04/2023:
O parágrafo primeiro considera faturamento:
I – a receita bruta de que trata o art. 12 do Decreto-Lei nº 1.598, de 26 de dezembro de 1977, excluídas as devoluções e vendas canceladas, bem como os descontos concedidos incondicionalmente;
II – a receita bruta de que trata o § 1º do art. 3º da Lei Complementar nº 123, de 14 de dezembro de 2006, excluídas as devoluções e vendas canceladas, bem como os descontos concedidos incondicionalmente, para pessoas jurídicas de direito privado optantes pelo Simples Nacional;
III – o montante total de recursos auferidos, excluídos os tributos sobre vendas, para pessoas jurídicas de direito privado sem fins lucrativos, nos termos da legislação vigente; ou
IV – o valor definido pela ANPD, nos termos deste Regulamento, que poderá considerar:
a) o limite de faturamento previsto nos incisos I e II do art. 3º ou no § 1º do art. 18-A, conforme o caso, da Lei Complementar nº 123, de 14 de dezembro de 2006, no caso dos optantes pelo Simples Nacional;
b) o limite de faturamento previsto no inciso I, § 1º, do art. 4º, da Lei Complementar nº 182, de 1º de junho de 2021, no caso de startups;
c) o faturamento total da empresa, do grupo ou conglomerado de empresas no Brasil, caso não disponível a informação referente ao ramo de atividade empresarial em que ocorreu a infração;
d) o somatório dos rendimentos recebidos por pessoas naturais referentes a atividades de tratamento de dados pessoais, direta ou indiretamente; ou
e) nos demais casos, o limite de faturamento correspondente ao valor máximo de multa de R$ 50.000.000,00 (cinquenta milhões de reais).
Na hipótese do inciso IV, a ANPD definirá o valor quando: (i) o infrator não apresentar documentação inequívoca e idônea, caracterizada, dentre outras formas, por meio de fraude, falsidade, erro, inexatidão, simulação ou omissão quanto a qualquer elemento definido em lei como sendo de declaração obrigatória; (ii) o infrator não apresentar documentação dentro do prazo estabelecido pela ANPD; ou (iii) o valor do faturamento for apresentado de forma incompleta.
Há, também, no Apêndice I, os critérios adotados quando o infrator for pessoa natural ou pessoa jurídica sem faturamento, calculando-se o valor base da multa segundo a fórmula:
Também se adota valores mínimos e máximos para definição do valor-base da multa quando o infrator for pessoa natural ou pessoa jurídica sem faturamento:
Observa-se que no parágrafo 2º, a Resolução estabelece como faturamento a soma de todos eles obtidos em todos os ramos de atividade empresarial, sejam os dados pessoais aproveitados, relacionados ou utilizados como fontes de informação para outros ramos de atividade da empresa, do grupo ou do conglomerado.
A Resolução também estabelece quais são as circunstâncias agravantes e atenuantes que incidem sobre o valor base da multa (Artigo 14), sendo que o valor obtido não poderá ser inferior aos valores mínimos previstos no Apêndice II do Regulamento, exceto para os casos em que a vantagem auferida ou pretendida pelo infrator seja estimável, aplicando-se, neste caso, o dobro da vantagem econômica decorrente da infração, e limitado a 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado de empresas no Brasil no seu último exercício, excluídos os tributos, ou a R$ 50.000.000,00 (cinquenta milhões de reais).
Para as circunstâncias agravantes, temos os seguintes percentuais:
I – 10% (dez por cento) para cada caso de reincidência específica, até o limite de 40% (quarenta por cento);
II – 5% (cinco por cento) para cada caso de reincidência genérica, até o limite de 20% (vinte por cento);
III – 20% (vinte por cento) para cada medida de orientação ou preventiva descumprida no processo de fiscalização ou do procedimento preparatório que precedeu o processo administrativo sancionador, até o limite de 80% (oitenta por cento); e
IV – 30% (trinta por cento) para cada medida corretiva descumprida, até o limite de 90% (noventa por cento).
O Artigo 12 ainda prevê que na incidência de mais de um desses incisos os percentuais relativos a cada fator deverão ser somados, prevendo-se, ainda, que na hipótese de haver registros computáveis a título de reincidência específica além do suficiente para a incidência do percentual máximo de agravamento previsto no inciso I deste artigo, os excedentes ingressarão na categoria de reincidência genérica, para o acréscimo previsto no inciso II.
O artigo 13 estabelece quais são as circunstâncias atenuantes em que o valor da multa será reduzido a um percentual:
I – nos casos de cessação da infração:
a) 75% (setenta e cinco por cento), se previamente à instauração de procedimento preparatório pela ANPD;
b) 50% (cinquenta por cento), se após a instauração de procedimento preparatório e até a instauração de processo administrativo sancionador; ou
c) 30% (trinta por cento), se após a instauração de processo administrativo sancionador e até a prolação da decisão de primeira instância no âmbito do processo administrativo sancionador;
II – 20% (vinte por cento), nos casos de implementação de política de boas práticas e de governança ou de adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar os danos aos titulares, voltados ao tratamento seguro e adequado de dados, até a prolação da decisão de primeira instância no âmbito do processo administrativo sancionador;
III – nos casos em que o infrator tenha comprovado a implementação de medidas capazes de reverter ou mitigar os efeitos da infração sobre os titulares de dados pessoais afetados:
a) 20% (vinte por cento), previamente à instauração de procedimento preparatório ou processo administrativo sancionador pela ANPD; ou
b) 10% (dez por cento), se após a instauração de procedimento preparatório e até a instauração de processo administrativo sancionador; e
IV – 5% (cinco por cento), nos casos em que se verifique a cooperação ou boa-fé por parte do infrator.
Destaca-se que cabe ao infrator o ônus de comprovar perante a ANPD o cumprimentos dos requisitos acima elencados.
Quanto à multa diária, serão observados: (i) o limite total previsto no art. 52, inciso II, da LGPD, por infração[2]; (ii) a classificação da infração; e (iii) o grau do dano, compreendendo a extensão do dano e o prejuízo causado, nos termos do art. 54 da LGPD e nos termos do Apêndice I do Regulamento.
O valor da multa diária será aplicado de forma acumulada, considerando o tempo entre a incidência da multa e o cumprimento da obrigação, até o limite total de R$ 50.000.000,00 (cinquenta milhões de reais) por infração.
A multa diária poderá ser aplicada quando o infrator após notificado do cometimento das irregularidades deixar de saná-las no prazo assinalado; praticar obstrução à atividade de fiscalização, e desde que a aplicação da multa diária seja necessária para desobstruí-la; ou praticar infração permanente não cessada até a decisão.
A multa diária incide do primeiro dia útil de atraso no cumprimento da sanção não pecuniária ou da determinação estabelecida pela ANPD, após a ciência oficial acerca da intimação da decisão que a estipulou, independentemente de nova intimação; do dia útil seguinte ao da ciência oficial acerca da intimação da decisão que a estipulou até o cumprimento da obrigação.
Quando aplicada a sanção de multa, esta deverá ser paga no prazo de até 20 dias úteis, contados a partir da ciência oficial da decisão de aplicação da sanção e que apurar o montante devido (Artigo 17).
O Regulamento observa que quando de tratar de agentes de tratamento de pequeno porte[3] será concedido prazo em dobro para o pagamento das multas aplicadas.
O não pagamento no prazo estipulado acarreta juros de mora de 1% ao mês e multa moratória de 0,33% por dia de atras, até o limite de 20% (vinte por cento).
O infrator que renunciar expressamente ao direito de recorrer da decisão de primeira instância fará jus a um fator de redução de 25% (vinte e cinco por cento) no valor da multa aplicado e se efetuar o pagamento dentro do prazo estabelecido no Artigo 17.
O artigo 19 estipula que o pagamento da multa não prejudica o direito de interposição de recurso administrativo e que, sendo o recurso provido, o valor da multa será restituído com correção de juros pela taxa Selic ou outro índice que vier a substituí-lo.
No penúltimo artigo do Regulamento, dispõe que a ANPD poderá afastar a metodologia de dosimetria de sanção de multa ou substituir a aplicação de sanção por outra constante no Regulamento, nos casos em que for constatado prejuízo à proporcionalidade entre a gravidade da infração e a intensidade da sanção (Artigo 27).
[1] Art. 7º Na definição da sanção, devem ser considerados os seguintes parâmetros e critérios: I – a gravidade e a natureza das infrações e dos direitos pessoais afetados; II – a boa-fé do infrator; III – a vantagem auferida ou pretendida pelo infrator; IV – a condição econômica do infrator; V – a reincidência específica; VI – a reincidência genérica; VII – o grau do dano, nos termos do Apêndice I deste Regulamento; VIII – a cooperação do infrator; IX – a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados, em consonância com a LGPD; X – a adoção de política de boas práticas e governança; XI – a pronta adoção de medidas corretivas; e XII – a proporcionalidade entre a gravidade da falta e a intensidade da sanção.
[2] multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração
[3] Art. 2º Para efeitos deste regulamento são adotadas as seguintes definições:
I – agentes de tratamento de pequeno porte: microempresas, empresas de pequeno porte, startups, pessoas jurídicas de direito privado, inclusive sem fins lucrativos, nos termos da legislação vigente, bem como pessoas naturais e entes privados despersonalizados que realizam tratamento de dados pessoais, assumindo obrigações típicas de controlador ou de operador (Resolução CD/ANPD nº 02/2022).
Publicado por Caio Zaccariotto