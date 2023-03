Gabriel Cosme de Azevedo, Pedro Ludovico Teixeira e Leonard Marques. Foto: Divulgação

Publicado no dia 27 de fevereiro de 2023 pela Autoridade Nacional de Proteção de Dados (ANPD), o Regulamento de Dosimetria e Aplicação de Sanções Administrativas, ou "norma de dosimetria", visa reforçar a atuação fiscalizatória da Autoridade.

A aprovação ocorreu por meio de deliberação eletrônica do Conselho Diretor da ANPD e também trouxe novas disposições à Resolução ANPD nº 1, que trata das regras para o processo de fiscalização e para o processo administrativo sancionador.

O que é dosimetria?

Dosimetria é o método que orienta e determina a sanção mais apropriada para cada caso concreto que resultar em violação à Lei Geral de Proteção de Dados - LGPD (Lei 13.709/2018), além de permitir calcular os valores de eventuais multas aplicáveis.

E para que serve o regulamento?

A elaboração do regulamento foi prevista pelo art. 53 da LGPD, e irá estabelecer as circunstâncias, as condições e os métodos de aplicação das sanções, buscando, sempre, garantir a proporcionalidade entre a sanção aplicável e a gravidade do caso, para que a sanção seja a mais assertiva e justa possível.

Continua após a publicidade

Os objetivos da norma de dosimetria são:

a) Definir os critérios e parâmetros para as sanções pecuniárias e não pecuniárias pela ANPD, bem como as formas e dosimetrias para o cálculo do valor-base das multas; e

b) Alterar os artigos 32, 55 e 62 da Resolução nº 1º CD/ANPD, para aprimorar o processo administrativo sancionador e a atividade repressiva da ANPD, respeitando o devido processo legal e o contraditório, de modo a também possibilitar transparência aos envolvidos.

Quais são as sanções que poderão ser aplicadas?

Sendo melhor explicadas e detalhadas no decorrer do texto, as seguintes sanções poderão ser aplicadas em casos de violação à LGPD:

1 - Advertência com indicações de medidas corretivas;

2 - Multa simples, de até 2% (dois por cento) do faturamento da empresa, sendo limitado o valor a R$ 50.000.000,00 (cinquenta milhões de reais), por infração;

Continua após a publicidade

3 - Multa diária, com limite total de R$ 50.000.000,00 (cinquenta milhões de reais);

4 - Publicização da infração;

5 - Bloqueio dos dados pessoais;

6 - Eliminação dos dados pessoais;

7 - Suspensão parcial do funcionamento do banco de dados por um período de até 6 (seis) meses, prorrogável por igual período, até que se regularize a situação;

8 - Suspensão do exercício da atividade de tratamento dos dados pessoais por até 6 (seis) meses, prorrogável por igual período; e

9 - Proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.

Continua após a publicidade

Com exceção das multas, todas as demais sanções também poderão ser aplicadas pelo Poder Público.

Destacamos que, primariamente, a ANPD adota um modelo de fiscalização responsivo, ou seja, que permite que a fiscalização não foque somente na aplicação de sanções, mas também adote medidas orientativas e preventivas para reconduzir os agentes à conformidade com a LGPD.

Contudo, nos casos em que tal conformidade não for constatada, observando os preceitos legais, as sanções poderão, ainda, ser mais severas.

Como as sanções serão definidas?

Na definição das sanções, os seguintes parâmetros e critérios serão considerados:

1 - A gravidade e a natureza das infrações e dos direitos pessoais afetados;

2 - A boa-fé do infrator;

Continua após a publicidade

3 - A vantagem auferida ou pretendida pelo infrator;

4 - A condição econômica do infrator;

5 - A reincidência específica e/ou genérica;

6 - O grau do dano (que levará em consideração a lesão ou ofensa a direitos, má-fé e descumprimento, além de outros pontos);

7 - A cooperação do infrator;

8 - A adoção demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados;

9 - A adoção de política de boas práticas e governança;

Continua após a publicidade

10 - A pronta adoção de medidas corretivas; e

11 - A proporcionalidade entre a gravidade da falta e a intensidade da sanção.

Segundo o regulamento, as infrações poderão ser classificadas em três categorias, sendo elas: "leves", "médias" ou "graves". Tal classificação será feita levando em consideração a gravidade e a natureza do caso concreto.

Como as sanções serão aplicadas?

Advertências

As advertências serão aplicadas quando a infração for leve ou média e não caracterizar reincidência específica. Também poderão ser adotadas nos casos em que houver necessidade de imposição de medidas corretivas pela Autoridade.

Ou seja, se um agente de tratamento provocar determinada violação, a ANPD poderá fornecer recomendações (chamadas de medidas corretivas) para que a violação seja mitigada e para que o agente cumpra em totalidade às disposições da LGPD.

Continua após a publicidade

Nesses casos, tais recomendações poderão ser acompanhadas de advertências.

Multas Simples

Serão aplicadas pela ANPD quando o infrator não atender, em seus devidos prazos, às medidas preventivas ou corretivas. A multa simples também poderá ser aplicada quando a infração for classificada como grave, bem como pela natureza da infração, da atividade de tratamento ou dos dados pessoais, sempre levando em consideração as circunstâncias existentes.

Multas Diárias

Serão aplicadas quando necessárias para assegurar o cumprimento, em prazo certo, de uma sanção não pecuniária (que anterior a tal hipótese não envolvia valores) ou de uma determinação estabelecida pela ANPD.

Neste caso, o valor da multa diária será aplicada de forma acumulada, considerando o tempo entre a incidência da multa e o cumprimento de determinada obrigação pelo infrator.

Frisamos aqui, que nas duas possibilidades de multas, seja Simples ou Diária, a ANPD observará o limite total de até R$ 50.000.000,00 (cinquenta milhões de reais) por infração, considerando as especificidades do caso, do agente infrator e dos cálculos.

Publicização da Infração

De maneira simples, tal sanção consiste na divulgação da infração pelo próprio infrator, após devidamente apurada e confirmada a sua ocorrência. Neste caso, os resultados de tal publicidade serão suportados exclusivamente pelo infrator, seja positiva ou negativamente.

Importante ressaltar que a publicização da infração não se confunde com a publicação de decisão de aplicação de sanção administrativa no Diário Oficial da União (DOU) ou em demais casos de atendimento ao princípio da publicidade administrativa.

Bloqueio dos Dados Pessoais

A sanção de bloqueio consiste na suspensão temporária de qualquer operação de tratamento com os dados pessoais que se relacionarem com a infração cometida. Hipótese onde os dados deverão ser guardados (bloqueados) e não poderão ser utilizados pelo agente.

Como exemplo, se a infração à LGPD se relacionar com dados específicos utilizados na operação de vendas de determinada empresa, a mesma, pelo tempo que perdurar a sanção, não poderá realizar tratamento com tais dados.

Nos moldes do exemplo acima, para que possa normalizar a operação, é necessário que seja comprovado, pela empresa, a regularização da infração.

Eliminação dos Dados Pessoais

Semelhante à sanção de bloqueio de dados, tal sanção somente se diferencia pois resulta na obrigação do agente excluir definitivamente os dados relacionados à infração cometida. Tal medida ainda se estende a todas as pessoas com quem o agente compartilhou os dados.

Suspensão Parcial do Funcionamento do Banco de Dados

Nos moldes do bloqueio e da eliminação, a sanção de suspensão parcial consiste na suspensão da "permissão" de utilização da base de dados a que se refere a infração.

Em suma, o agente não poderá, enquanto perdurar a sanção, utilizar a base de dados (como um todo) que viola as disposições da LGPD. Tal sanção poderá ser aplicada por até 6 (seis) meses, podendo ser prorrogada por igual período.

Suspensão do Exercício de Atividade de Tratamento dos Dados Pessoais

Diferentemente da suspensão específica de determinada base de dados, a sanção de suspensão do exercício - de forma mais agressiva - objetiva suspender toda a atividade do infrator, com o fim de assegurar o cumprimento das normas legais e regulamentares.

Tal sanção, idem, poderá ser aplicada por até 6 (seis) meses, podendo ser prorrogada por igual período.

Nas últimas duas últimas hipóteses de sanções, serão consideradas, conforme suas especificidades, o interesse público, o impacto aos direitos dos titulares de dados, a classificação da infração e a complexidade para regularização da atividade de tratamento pelo infrator.

Proibição Parcial ou Total do Exercício de Atividades Relacionadas a Tratamento de Dados

Por fim, destinada a casos específicos, tal sanção consiste no impedimento, parcial ou total, do agente realizar tratamento de dados.

Sem prazos, como nas anteriores, tais sanções poderão ser aplicadas nos casos em que:

1 - Houver reincidência em infração punida com suspensão parcial do funcionamento do banco de dados ou suspensão do exercício da atividade de tratamento dos dados pessoais;

2 - Ocorrer tratamento de dados pessoais com fins ilícitos, ou sem amparo em hipótese legal; ou

3 - Quando o infrator perder ou não atender às condições técnicas e operacionais para manter o adequado tratamento de dados pessoais.

O que muda a partir de agora?

A partir de agora, conforme declarações oficiais, a ANPD poderá aplicar sanções administrativas com base em requisitos claros e estabelecidos, pois o regulamento já entrou em vigor a partir de sua publicação.

Com isso, a LGPD passa a estar plenamente em vigor, sendo importante sua observância por parte dos agentes, especialmente por empresas e entidades que tratam dados, com um ponto de atenção dobrado às que tratam dados pessoais sensíveis.

Com o regulamento, ainda, o Brasil passa a estar ainda mais alinhado ao cumprimento do direito fundamental à proteção de dados, expresso em nossa Constituição Federal.

*Gabriel Cosme de Azevedo é advogado da Bento Muniz Advocacia, formado em Direito Contemporâneo pela Fundação Getúlio Vargas - FGV, pós-graduando em Direito, Tecnologia e Inovação com ênfase em Proteção de Dados pelo Instituto New Law, formado em Mercado Jurídico pela Business School São Paulo (BSP), diretor fundador do Instituto Brasileiro de Proteção de Dados (IBPD), membro da Comissão de Direito Digital, Tecnologias Disruptivas e Startups pela OAB-DF, membro da Comissão de Assuntos Tributários da OAB-DF e mediador pela Rede Internacional de Excelência Jurídica do Distrito Federal (RIEX-DF)

*Pedro Ludovico Teixeira é advogado da Bento Muniz Advocacia, graduado em Direito pelo Instituto Brasileiro de Ensino, Desenvolvimento e Pesquisa - IDP, com graduação parcial pela Universidade Nova de Lisboa. Pós graduado em Direito Público pela PUC-RS. Cursando Masters of Laws (LL.M.) em Mercado de Capitais pelo Insper. Pesquisador do Grupo de Pesquisa em Direito Administrativo Sancionador do IDP. Pesquisador do Grupo de Estudos em Direito Regulatório-GEDIR do IDP. Pesquisador do Grupo Nacional de Estudos em Saneamento Básico - GESANE da UNB. Membro da Rede Governança Brasil-RGB.

*Leonard Marques é colaborador na Bento Muniz Advocacia, graduando em Direito pela Universidade Católica de Brasília - UCB. Graduando em Segurança da Informação pela Pontifícia Universidade Católica de Minas Gerais - PUC-MG. Associado do Instituto Brasileiro de Proteção de Dados - IBPD