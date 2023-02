Júlia Shinohara. Foto: Divulgação

Foi publicado hoje, 27 de fevereiro de 2023, o regulamento da Autoridade Nacional de Proteção de Dados - ANPD (Resolução CD/ANPD nº 4/2023) que permite o início da aplicação das sanções administrativas da Lei Geral de Proteção de Dados - LGPD (Lei nº 13.709/2008).

O regulamento foi resultado de um processo que contou com ampla participação social, incluindo a tomada de subsídios e realização de consulta e audiência públicas, e tem por objetivo estabelecer parâmetros e critérios para a aplicação de sanções administrativas pela ANPD, bem como as formas e a dosimetria para o cálculo do valor das multas.

Conforme previsto na LGPD, o descumprimento de suas obrigações e dos regulamentos expedidos pela ANPD sujeitarão os infratores a sanções administrativas que poderão consistir em: advertência, multa simples, multa diária, publicização da infração, bloqueio ou eliminação dos dados pessoais a que se refere a infração, suspensão parcial do funcionamento do banco de dados, suspensão do exercício da atividade de tratamento de dados, ou proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados pessoais.

As sanções serão aplicadas pela ANPD de forma gradativa, isolada ou cumulativamente, após procedimento administrativo, nos termos do Regulamento do Processo de Fiscalização e do Processo Administrativo Sancionador, aprovado pela Resolução CD/ANPD nº 1 de 28 de outubro de 2021, e o não cumprimento da sanção aplicada ou a ausência de regularização da conduta ensejará a aplicação de sanções mais graves.

Na definição da sanção serão considerados os seguintes parâmetros e critérios: a gravidade e a natureza das infrações e dos direitos pessoais afetados, a boa-fé do infrator, a vantagem auferida ou pretendida pelo infrator, a condição econômica do infrator, se é caso de reincidência, o grau do dano, a cooperação do infrator, a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, a adoção de política de boas práticas e governança, a pronta adoção de medidas corretivas, e a proporcionalidade entre a gravidade da falta e a intensidade da sanção.

O regulamento classifica as infrações em leve, média ou grave, sendo considerada "média" a infração que possa afetar significativamente interesses e direitos fundamentais dos titulares dos dados, tais como aquelas que possam gerar discriminação, violação à integridade física, ao direito à imagem e à reputação, fraudes financeiras ou uso indevido de identidade, e "grave" aquelas em que, além de afetar os interesses e direitos dos titulares, é verificada pelo menos uma das seguintes hipóteses: envolve o tratamento de dados pessoais em larga escala; o infrator auferiu ou pretendia auferir vantagem econômica; a infração implica risco à vida dos titulares; a infração envolve dados sensíveis ou dados de crianças, adolescentes ou idosos, o infrator realizou o tratamento de dados sem amparo de uma das hipótese legais previstas na LGPD; o tratamento possui efeitos discriminatórios ilícitos ou abusivos; ou é verificada a adoção sistemática de práticas irregulares pelo infrator. Adicionalmente, será considerada infração grave a obstrução à atividade de fiscalização.

A sanção de multa só será aplicada quando a infração for classificada como grave, quando o infrator não tenha atendido as medidas preventivas ou corretivas a ele impostas, ou quando pela natureza da infração, da atividade de tratamento ou dos dados pessoais, e pelas circunstâncias do caso concreto, não for adequado aplicar outra sanção. Ainda, o regulamento prevê um acréscimo no valor da multa em caso de reincidência, descumprimento de medida orientativa, preventiva ou corretiva.

Por outro lado, o regulamento prevê reduções no valor da multa, que podem chegar a até 75%, caso o infrator tenha adotado uma postura proativa de modo a fazer cessar a infração, ou de até 20% caso o infrator comprove ter implementado uma política de boas práticas e de governança e demonstre ter adotado, de forma reiterada, mecanismos internos voltados ao tratamento seguro e adequado dos dados. Isso realça a importância da implementação de um programa de adequação à LGPD, visto que sua mera implementação (de forma adequada e documentada), além de prevenir a ocorrência de incidentes de segurança, já resulta numa diminuição da multa, além de preparar a empresa para responder de forma rápida e proativa para fazer cessar a infração, reduzindo ainda mais as multas.

Já a sanção de multa diária será aplicada quando necessário para assegurar o cumprimento, em prazo certo, de uma sanção não pecuniária ou de uma determinação da ANPD, ou quando o infrator deixe de sanar irregularidades no prazo assinalado, obstrua a fiscalização ou pratique uma infração permanente (isso é, uma violação que se prolonga no tempo).

Não obstante, a ANPD poderá afastar a metodologia de dosimetria da multa ou substituir a aplicação da sanção por outra constante no regulamento nos casos em que for constatado prejuízo à proporcionalidade entre a gravidade da infração e a intensidade da sanção. Nesse caso, a decisão da ANPD deverá ser motivada e fundamentada, demonstrando a necessidade e a adequação da medida imposta, os parâmetros adotados e o interesse público a ser protegido.

Por fim, vale destacar que as disposições constantes no regulamento se aplicam também aos processos administrativos já em curso quando de sua entrada em vigor. Nesse sentido, no início deste mês, o presidente da ANPD, Waldemar Gonçalves Júnior, deu uma entrevista na qual afirmou que há 8 processos em trâmite na ANPD em que já foram constatadas infrações das empresas envolvidas, e que a ANPD estava apenas esperando a publicação da regulamentação da dosimetria para a aplicação das sanções. Assim, muito em breve começaremos a ver as primeiras sanções por descumprimento da LGPD serem aplicadas.

*Júlia Shinohara, advogada especializada em LGPD do BZCP - Bronstein, Zilberberg, Chueiri e Potenza Advogados