Desde o advento da Lei nº 13.709/2018 (Lei Geral de Proteção de Dados - LGPD), alguns aspectos, sobretudo no que toca ao delineamento das possíveis sanções administrativas, ainda pendiam de uma regulamentação expressa. Por essa razão, sobreveio, recentemente, a Resolução CD/ANPD nº 4/2023.

Consoante exposto no regulamento, a não adoção de medidas preventivas - ou seja, de ações que visem a recondução do agente de tratamento à plena conformidade ou a evitar ou remediar situações que acarretem risco ou danos aos titulares de dados pessoais -, pode ocasionar a imposição de medidas repressivas (art. 32, § 2º, I).

A resolução ainda traz consigo um anexo que regulamenta a dosimetria e aplicação de sanções administrativas, assentando parâmetros e critérios para imposição de penalidades às infrações, ou seja, a eventuais descumprimentos de obrigações estabelecidas pela LGPD e/ou pelos regulamentos da ANPD (Autoridade Nacional de Proteção de Dados).

Entre as sanções administrativas, prevê a advertência (para infrações leves e médias não caracterizadas pela reincidência específica); a multa simples (aplicadas quando o infrator não tenha atendido as medidas preventivas ou corretivas a ele impostas, dentro dos prazos estabelecidos; quando a infração for classificada como grave; ou caso pela natureza da infração, da atividade de tratamento ou dos dados pessoais, e pelas circunstâncias do caso concreto, não seja adequado aplicar outra sanção); multa diária (quando necessária para assegurar o cumprimento, em prazo certo, de uma sanção não pecuniária ou de uma determinação estabelecida pela ANPD); a publicização da infração, após devidamente apurada e confirmada a sua ocorrência, consoante a relevância e interesse público da matéria; bloqueio dos dados pessoais a que se refere a infração - ou seja, suspensão temporária de qualquer operação de tratamento com os dados pessoais a que referida - até a sua regularização; eliminação dos dados pessoais a que se refere a infração; suspensão parcial (por até 6 meses) do funcionamento do banco de dados a que se refere a infração; suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração (por até 6 meses, prorrogável por igual período); e a proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados, esta última apenas para casos em que houver a reincidência em infração punida com suspensão parcial do banco de dados ou suspensão do exercício da atividade de tratamento dos dados pessoais; ou em que ocorra tratamento de dados pessoais com fins ilícitos, ou sem amparo em hipótese legal; ou caso o infrator perca ou não atenda as condições técnicas e operacionais para manter o adequado tratamento de dados pessoais (art. 3º).

Além disso, estipula que as sanções mais gravosas - quais sejam: a suspensão parcial do funcionamento do banco de dados, a suspensão do exercício da atividade de tratamento dos dados pessoais e proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados - somente poderão ser aplicadas após a prévia imposição ao menos de multa simples, multa diária, publicização da infração; bloqueio de dados pessoais ou de eliminação dos dados pessoais.

Outro ponto de suma relevância é o assentamento de parâmetros e critérios para a dosimetria das sanções, os quais deverão levar em conta desde a gravidade e natureza das infrações e dos direitos pessoais afetados (além da extensão do dano), até a avaliação de condições particulares do infrator (como a condição econômica do infrator, sua boa-fé, eventual reincidência - seja ela genérica ou específica -, sua cooperação); assim como deve considerar as medidas preventivas (como procedimentos internos capazes de minimizar o dano, adoção de política de boas práticas e governança) e corretivas adotadas.

Não fosse o bastante, ainda decreta que as sanções devem respeitar a proporcionalidade entre a gravidade da falta e a intensidade da sanção, além de prescrever critérios para a definição do valor-base de eventuais multas.

A normativa ainda fixa que o não cumprimento da sanção imposta ou a ausência de regularização da conduta no prazo estipulado, ensejará a atuação da ANPD com vistas a progredir a sanção para uma mais grave (art. 5º, § 2º).

Por outro lado, apresenta os princípios norteadores dos processos administrativos sancionadores: o direito à ampla defesa, ao contraditório, ao devido processo legal e a individualização da sanção (em caso de multiplicidade de infratores, conforme preceituado no parágrafo único do art. 4º).

*Luiz Antonio Varela Donelli, sócio do escritório Donelli e Abreu Sodré Advogados (DSA), advogado da área de Direito Empresarial e Internacional com LLM International Business Law (ESADE, Espanha)