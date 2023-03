Paulo Lilla. Foto: Divulgação

A Autoridade Nacional de Proteção de Dados (ANPD) publicou, no dia 27 de fevereiro, a resolução CP/ANPD nº 4/2023 que aprova o Regulamento de Dosimetria e Aplicação das Sanções Administrativas. O regulamento tem como objetivo estabelecer critérios e parâmetros para a aplicação das sanções administrativas previstas no artigo 52 da Lei Geral de Proteção de Dados Pessoais (LGPD), bem como formas de dosimetrias para o cálculo do valor-base das penalidades de multa.

O regulamento vem para garantir segurança jurídica e previsibilidade aos processos administrativos sancionadores da ANPD, assegurando a devida proporcionalidade entre a sanção aplicada e a gravidade da conduta do agente.

A publicação do regulamento era aguardada com grande expectativa, pois se tratava da última pendência regulatória para que a ANPD pudesse efetivamente impor sanções administrativas em caso de descumprimento da LGPD. Desse modo, a atuação fiscalizadora e repressiva da ANPD passa a ser fortalecida e, em breve, teremos as primeiras sanções impostas pelo órgão.

Portanto, é importante que as empresas e demais entidades sujeitas à LGPD que ainda não tenham se adequado à lei busquem fazê-lo o mais rápido possível. É altamente recomendável, também, a revisão e atualização dos programas de governança em proteção de dados, para assegurar que estejam em linha com os últimos normativos e diretrizes regulatórias da ANPD. Vale lembrar que possuir um programa de conformidade com a LGPD poderá servir como critério objetivo para atenuação de eventual sanção administrativa que venha a ser imposta pela ANPD. Dentre os critérios atenuantes, o regulamento prevê a possibilidade de redução do valor da multa em 20% nos casos em que o infrator comprovar que implementou política de boas práticas e de governança, ou a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar os danos aos titulares.

As sanções previstas no regulamento podem variar. Vão desde uma simples advertência até a proibição parcial ou total do exercício de atividades relacionadas ao tratamento de dados. São previstas ainda aplicação de multa simples, multa diária, publicização da infração, bloqueio de dados pessoais, eliminação de dados pessoais ou suspensão parcial do banco de dados.

A aplicação da sanção só será efetivada após processo administrativo que assegure ao agente investigado o direito à ampla defesa e ao contraditório. A ANPD deve, ainda, garantir a proporcionalidade entre a sanção aplicada e a gravidade da conduta do agente.

Continua após a publicidade

Visando garantir a mencionada proporcionalidade, o regulamento cita, expressamente, os critérios e parâmetros que a ANPD levará em conta para aplicar as sanções. São eles: A gravidade e a natureza das infrações e dos direitos pessoais afetados; boa-fé do infrator, a vantagem auferida ou pretendida pelo infrator, a condição econômica do infrator, reincidência específica, grau de dano, a cooperação do infrator, a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados em consonância com a LGPD, a adoção de política de boas práticas e governança, a pronta adoção de medidas preventivas, a pronta adoção de medidas corretivas.

As sanções mais severas - suspensão parcial do funcionamento do banco de dados ou suspensão do exercício da atividade de tratamento dos dados e proibição parcial ou total do exercício de atividades de tratamento - no entanto, só serão aplicadas após a aplicação de ao menos uma das demais sanções consideradas menos severas, como advertência ou multa.

Caso o agente de tratamento não cumpra a sanção - como, por exemplo, se recuse a pagar multa ou se negue a regularizar a conduta infrativa, a ANPD poderá aplicar as sanções mais severas mencionadas acima, sem prejuízo de outras medidas cabíveis.

Ainda para fins de aplicação das sanções, as infrações serão classificadas em leve, média ou grave, de acordo com a gravidade e natureza das condutas e dos direitos pessoais afetados.

Nesse contexto, a classificação de uma infração como média dependerá de fatores como a existência de danos materiais ou morais aos titulares, incluindo discriminação, violação à integridade física, ao direito à imagem e à reputação, fraudes financeiras ou uso indevido de identidade. Já para classificar uma infração como grave, outros critérios são acrescidos como, por exemplo, se o tratamento de dados foi feito em larga escala (por exemplo, elevado volume de dados pessoais), se a atividade de tratamento de dados não é respaldada em uma das hipóteses autorizativas previstas na LGPD, se há tratamento de dados de crianças, adolescentes ou idosos, dentre outros fatores.

Finalmente, o regulamento prevê uma metodologia para a definição do valor-base da sanção de multa simples, que parte de elementos como a classificação da infração, o faturamento do infrator e o grau do dano causado.

Sobre esse valor-base, podem ser acrescidos determinados percentuais aplicáveis a circunstâncias agravantes, como por exemplo, em casos de reincidência, descumprimento de medidas de orientação, preventiva e/ou corretivas. Da mesma forma, há também critérios atenuantes que poderão levar à redução do valor da multa em determinados percentuais, por exemplo, quando o infrator cessar a infração, implementar medidas para reverter ou mitigar os danos, cooperar com a investigação, agir de boa-fé, implementar política de boas práticas e governança, etc.

Continua após a publicidade

Pontos polêmicos

Dentre os pontos mais polêmicos do regulamento, destacamos o artigo 27. Ele autoriza a ANPD a afastar a metodologia de dosimetria de sanção de multa ou substituir a sua aplicação por outra que conste do regulamento, caso considere que a sanção em questão não é proporcional à gravidade da infração. A crítica, aqui, diz respeito ao excesso de poder discricionário da ANPD para afastar a metodologia que tem justamente o objetivo de conferir previsibilidade e segurança jurídica aos agentes de tratamento sujeitos às sanções administrativas previstas na LGPD.

Embora o artigo 27 preveja que a decisão de afastamento da metodologia de dosimetria deva ser "baseada em valores jurídicos abstratos", além de ser "motivada e fundamentada", não podemos descartar o risco de que tal dispositivo abra caminho para decisões arbitrárias ou injustas. Afinal, o próprio regulamento já prevê penalidades mais severas para os casos tidos como mais graves.

Portanto, a utilização da exceção prevista no artigo 27 poderá resultar em judicialização, com resultados incertos e que dependerão de interpretação pelos tribunais.

A discussão sobre possível aplicação do regulamento a processos administrativos iniciados antes da publicação da resolução é outro ponto polêmico e que pode gerar judicializações.

O artigo 28 do regulamento prevê que este é aplicável aos processos administrativos em curso quando de sua entrada em vigor. Isso significa que as disposições do regulamento poderão ser aplicadas imediatamente a processos administrativos que estejam em andamento e que, portanto, foram iniciados antes da entrada em vigor do regulamento.

A possibilidade de aplicação de sanções administrativas a casos iniciados antes da entrada em vigor do regulamento poderá resultar em judicialização, uma vez que o artigo 53, § 1º, da LGPD prevê que as metodologias que orientarão o cálculo do valor-base das sanções de multa devem ser " previamente publicadas, para ciência dos agentes de tratamento ". Essa norma poderia levar ao questionamento de eventual imposição de sanção administrativa pela ANPD em relação à conduta praticada antes da publicação do regulamento - momento em que não havia ciência do agente de tratamento quanto à dosimetria das sanções, ainda que sob processo administrativo que já estava em andamento quando de sua entrada em vigor.

Continua após a publicidade

*Paulo Lilla, sócio da prática de Tecnologia, Proteção de Dados e Propriedade Intelectual do Lefosse