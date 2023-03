Camila Chizzotti. Foto: Divulgação

O Regulamento de Dosimetria e Aplicação de Sanções Administrativas (Resolução CD/ANPD nº 4 de 24 de fevereiro de 2023) foi publicado na última segunda-feira (27 de fevereiro) pela Autoridade Nacional de Proteção de Dados. Este regulamento, conhecido como "norma de dosimetria", era bastante esperado pela sociedade por tratar da atuação sancionadora da ANPD, já que era o último instrumento que restava para que a aplicação das sanções administrativas previstas na LGPD em relação aos seus infratores fosse possível.

A aprovação aconteceu em deliberação eletrônica do Conselho Diretor da ANPD e trouxe, também, alterações na Resolução CD/ANPD nº 1, que trata das regras para o processo de fiscalização e processo administrativo sancionador da Autoridade. Dentre as alterações relevantes nesta Resolução, temos que o não atendimento de medida preventiva, ou seja, a ausência da implementação de uma Programa de adequação à LGPD efetivo, enseja a progressão de atuação da ANPD para que atue de modo repressivo, e será considerado circunstância agravante em caso de instauração de processo administrativo sancionador.

A norma de dosimetria tem como objetivo regulamentar os artigos da LGPD que tratam das sanções administrativas (artigos 52 e 53), e definir os critérios e parâmetros para as sanções pecuniárias e não pecuniárias pela ANPD, bem como as formas e dosimetrias para o cálculo do valor-base das multas. Também altera os artigos 32, 55 e 62 da Resolução CD/ANPD nº 1, visando aprimorar o processo administrativo sancionador e de fiscalização, permitindo-se que a ANPD evolua na atividade repressiva, de modo a proporcionar segurança jurídica e transparência para os agentes de tratamento.

Em linhas gerais, o regulamento é a norma que visa estabelecer as circunstâncias, as condições e os métodos para aplicação das sanções, considerando aspectos como o dano ou o prejuízo gerado aos titulares de dados. A norma de dosimetria busca atingir uma proporcionalidade entre a sanção aplicada e a gravidade da conduta do agente, além de proporcionar segurança jurídica aos processos fiscalizatórios e garantir o direito ao devido processo legal e ao contraditório.

As sanções serão aplicadas após uma análise feita em processo administrativo no caso concreto. Esse processo deverá dar a oportunidade de ampla defesa, e na definição da sanção serão considerados os seguintes parâmetros e critérios:

- Gravidade e natureza das infrações e dos direitos pessoais afetados;

- Boa-fé do infrator;

- Vantagem auferida ou pretendida pelo infrator;

- Condição econômica do infrator;

- Reincidência;

- Grau do dano;

- Cooperação do infrator;

- Adoção de mecanismos e procedimentos internos capazes de minimizar o dano;

- Adoção de política de boas práticas e governança;

- Pronta adoção de medidas corretivas; e

- Proporcionalidade entre a gravidade da falta e a intensidade da sanção.

As infrações serão classificadas, segundo a gravidade e a natureza das infrações e dos direitos pessoais afetados em leve, média ou grave.A infração será considerada média quando puder afetar significativamente interesses e direitos fundamentais dos titulares de dados pessoais, caracterizada nas situações em que a atividade de tratamento puder impedir ou limitar, de maneira significativa, o exercício de direitos ou a utilização de um serviço, assim como ocasionar danos materiais ou morais aos titulares, tais como discriminação; violação à integridade física; ao direito à imagem e à reputação; fraudes financeiras ou uso indevido de identidade, desde que não seja classificada como grave. E será considerada grave quando verificada a hipótese da infração média e cumulativamente, pelo menos uma das seguintes: envolver tratamento de dados em larga escala; o infrator auferir ou pretender auferir vantagem econômica em decorrência da infração cometida; a infração implicar risco à vida dos titulares; a infração envolver tratamento de dados sensíveis ou de dados pessoais de crianças, de adolescentes ou de idosos; o infrator realizar tratamento de dados pessoais sem amparo em uma das hipóteses legais previstas na LGPD; o infrator realizar tratamento com efeitos discriminatórios ilícitos ou abusivos; ou quando verificada a adoção sistemática de práticas irregulares pelo infrator.

O regulamento traz circunstâncias agravantes e atenuantes, além de detalhar cada uma das sanções administrativas previstas na LGPD, trazendo definições e critérios de como e em quais casos serão aplicadas cada uma delas.

A partir de agora, a ANPD poderá aplicar as sanções administrativas com base em requisitos claros e estabelecidos, pois o regulamento entra em vigor imediatamente após a sua publicação. Em evento realizado ao final de janeiro, o presidente da ANPD, Waldemar Gonçalves, além de ter anunciado que o regulamento seria publicado em fevereiro, afirmou que existem 8 processos que aguardam a norma de dosimetria para serem concluídos e diversas ações fiscalizadoras têm sido tratadas pela Coordenação Geral de Fiscalização. A ANPD tem recebido cerca de 6,9 mil denúncias, e é necessária uma verdadeira mudança da cultura de proteção de dados no Brasil, que certamente se inicia com os próprios titulares.

*Camila Chizzotti é sócia da área de compliance do escritório Ogawa, Lazzerotti e Baraldi Advogados