Regulamento de Dosimetria e Aplicação de Sanções Administrativas

RESOLUÇÃO Nº 4/2023 ANPD – REFLEXŌES E DESTAQUES 

A Proteção de Dados no Brasil mantém o ritmo acelerado de evolução e constante aprimoramento normativo. O mais recente capítulo na construção da defesa à privacidade foi a publicação em 24 de fevereiro de 2023 da Resolução nº 4 por parte da ANPD, que estabelece a dosimetria das sanções administrativas, já aplicável para os processos em curso.

A nova resolução traz eficácia para os dispositivos da lei, ao enfim definir critérios para aplicação das medidas corretivas aos agentes de tratamento em decorrência das infrações cometidas à LGPD. Os pontos de destaque são:

• a classificação de sanções por nível de gravidade;
• a regra para sancionamento de grupos econômicos;
• a estipulação das causas agravantes e atenuantes;
• a definição do enquadramento de reincidência específica e genérica;
• a obrigatoriedade da oitiva de demais reguladores setoriais;
• hierarquização de sanções e;
• a instituição de sistema de proporcionalidade.

Os parâmetros de gradação das medidas sancionatórias estão estabelecidos por nível de gravidade, conforme reproduzido a seguir:

Essa diferenciação permite uma melhor adequação da medida sancionatória ao caso concreto, no entanto, a abordagem utilizada na resolução pode ensejar certo grau de insegurança jurídica. A título de exemplo, o art. 8 º, § 2º, dá margem à subjetividade na definição do nível de gravidade ao descrever os efeitos da infração, assim como o §3º apresenta elementos que categorizam a infração grave, gerando legítimas dúvidas quando enfrentamento de um caso prático[1].

Com a atual redação, surge o risco de discricionariedade ocupar um espaço indevido na análise de infrações. Há ainda o fato de a autoridade elencar danos morais como elemento a fundamentar uma sanção, sendo que a análise e valoração de danos morais é, em regra, a atribuição do Poder Judiciário.

No tocante à definição do valor-base da multa, será considerado o faturamento total da empresa, do grupo ou conglomerado de empresas no Brasil, caso não disponível a informação referente ao ramo de atividade empresarial em que ocorreu a infração.

No entanto, art. 11, §2º, ressalta que caso a infração tenha ocorrido em mais de um ramo de atividade empresarial, ou os dados pessoais envolvidos estejam relacionados com processos de outros ramos de atividade da empresa, o valor-base será calculado observando a soma de todos os ramos da atividade empresarial.

Neste sentido, é ainda mais importante realizar a revisitação dos compartilhamentos de dados pessoais entre empresas de um mesmo grupo econômico, notadamente para mitigar riscos de uma infração praticada apenas por um deles.

A resolução também inaugura a estrutura de agravantes e atenuantes para casos de aplicação de multa simples[2]. A ANPD entendeu por utilizar sistema baseado em escalonamento percentual, e assim criar uma gradação de agravantes e atenuantes. Desta forma, a multa será majorada nos casos abaixo:

• Reincidência específica (a ocorrência na mesma infração, duas ou mais vezes no período de 5 anos): 10% a 40%;
• Reincidência genérica (cometimento de uma infração seguida de outra, de natureza diversa, também no período de 5 anos): 5% a 20%[3];
• Descumprimento de medida orientativa ou preventiva: 20% a 80%;
• Descumprimento de medida corretiva: 30% e 90%.

As circunstâncias atenuantes nas palavras de Rodrigo Santana, coordenador de normatização da ANPD, funcionam como uma premiação quando o agente em desconformidade, se adequa a lei, ainda que de forma tardia. Assim, a redução ocorre em:

• 75%, caso o agente de tratamento consiga cessar a infração antes da ANPD instaurar procedimento preparatório;
• 50% se a cessação ocorrer após instauração de procedimento preparatório e até a instauração de procedimento administrativo sancionador;
• 30% se a infração for cessada após a instauração de processo administrativo sancionador, até a prolação de decisão de primeira instância.

                 Figura 1. Fluxograma com atenuantes aplicada conforme fase processual.

Merece destaque que a multa será atenuada em 20% caso o agente infrator tenha implementado políticas de boas práticas em privacidade, ou adoção de procedimentos internos de mitigação de danos aos titulares, até a decisão de primeiro grau. Ou seja, contar com apoio de consultoria especializada em proteção de dados, mesmo que a infração não seja cessada, já representa uma redução de 20% no impacto punitivo.

Considerando o valor máximo das multas, a simples implementação de um projeto de privacidade pode representar uma economia de até 10 milhões de reais, demonstrando a importância desse investimento.

A resolução de dosimetria implicitamente acabou por criar duas espécies de sanções. Uma aplicável somente para “infratores primários”, que não incidiram em violação prévia à LGPD, como multa simples, multa diária, publicização da infração, bloqueio de dados pessoais e eliminação de dados pessoais.

Já as medidas de suspensão do funcionamento do banco de dados, suspensão do exercício de atividades de tratamento e proibição do exercício de atividades de tratamento são reservadas somente para os infratores reincidentes. O que implica dizer que as punições mais severas são reservadas aos casos de descumprimento sistemático e reiterado da legislação.

O art. 27 da resolução agrega um importante racional de proporcionalidade, o que torna possível afastar a metodologia de dosimetria da sanção de multa, em casos em que a medida indicada seja desproporcional a gravidade da infração. O que abre novamente margem de subjetividade, para a criação de metodologia “sob demanda”, para cada caso.

O mesmo dispositivo permite ainda, alternativamente, substituir a sanção desproporcional por outra mais adequada à infração, ainda que em contrariedade com os parâmetros objetivos estipulados na normativa.

A iniciativa de introduzir sistema de proporcionalidade merece elogios, no entanto a redação do dispositivo pode ser aprimorada para evitar excessiva discricionariedade e maior grau de coesão com o restante da norma.

Assim, podemos concluir que o anseio em responder às dúvidas do mercado ao ainda incipiente arcabouço normativo, demanda que a ANPD realize trabalho sereno e ponderado quando do enfrentamento de casos já aptos a julgamento, permitindo clareza e segurança jurídica aos agentes de tratamento.

A autoridade brasileira vem demonstrando em diversas oportunidades sua preocupação com a participação social, com o impacto econômico de suas medidas, e com o constante diálogo com reguladores setoriais. Considerando isso, é razoável afirmar que a tendência da ANPD é assumir o caminho do bom senso, e que suas normativas irão evoluir e se adequar às melhores práticas regulatórias.

Por isso, cabe as empresas, igualmente, iniciar e/ou atualizar seus Programas de Governança em Privacidade, com a indicação formal de seu Encarregado pelo Tratamento de Dados pessoais e contemplando normativos, treinamentos campanhas de conscientização, canal de atendimento disponível ao titular e técnicas de segurança da informação, de modo que possibilite evidenciar claramente a adoção de políticas de boas práticas em privacidade.

Afinal, considerando o valor máximo das multas, a simples implementação de um projeto de privacidade pode representar, em casos extremos, uma economia de até 10 milhões de reais, demonstrando a importância desse investimento. Conte com o Peck Advogados nesta jornada.

CONFIRA MATERIAL ADICIONAL DISPONIBILIZADO PELA PECK ADVOGADOS.

DOWNLOAD AQUI!

Patricia Peck, CEO e sócia do Peck Advogados, Conselheira Titular do Conselho Nacional de Proteção de Dados (CNPD) e Professora da ESPM.

Caroline Teófilo, sócia do Peck Advogados e gestora do Núcleo de DPO.

Henrique Rocha, sócio do Peck Advogados e gestor do Contencioso Digital e Resposta a Incidentes.

[1] Se um ROPA estiver desatualizado em relação a apenas um dado pessoal sensível (não afetando interesses fundamentais do titular), poderá ser configurada uma infração leve.

[2] Destaca-se o fato de não haver regras para aplicação de atenuantes ou agravantes em outras infrações, já que estas estão previstas apenas na subseção III da resolução, quando da previsão de sanção pecuniária simples.

[3] Neste item, é relevante que, no enquadramento de uma eventual segunda infração, o agente de tratamento consiga demonstrar a não incidência da mesma infração anterior, afastando a reincidência específica e, assim, reduzindo pela metade a agravante imposta.

Read More: –

• Agosto chegou e com ele as sanções da LGPD, e agora?
• ANPD como autarquia federal: o que muda para a proteção de dados no Brasil?
• Privacidade e Proteção de Dados –Cenário Internacional e seu relacionamento com a Lei Geral de Proteção de Dados Pessoais (LGPD) no Brasil
• Veja como sua empresa pode se adequar à LGPD