A Resolução CD/ANPD Nº 4 aprova o Regulamento de Dosimetria e Aplicação de Sanções Administrativas e permite à Autoridade aplicar punições por descumprimento à Lei Geral de Proteção de Dados (LGPD).
O Regulamento de Dosimetria e Aplicação de Sanções Administrativas (também chamado de “Norma de Dosimetria da ANPD”), publicado em 27 de fevereiro de 2023, pela Autoridade Nacional de Proteção de Dados trata da atuação sancionadora da ANPD, proporcionando, assim, o devido reforço à atuação fiscalizatória da Autoridade.
Segundo a ANPD, a aprovação aconteceu em deliberação eletrônica do seu Conselho Diretor e trouxe, também, alteração da Resolução ANPD nº 1, que trata das regras para o processo de fiscalização e para o processo administrativo sancionador da Autoridade.
Importante esclarecer que a sanção administrativa é apenas uma das ferramentas que a Autoridade possui para reconduzir o agente de tratamento de dados pessoais à conformidade com a Lei Geral de Proteção de Dados Pessoais – LGPD.
Mas sobre o que trata e qual o objetivo da Norma de Dosimetria da ANPD?
A Norma de Dosimetria da ANPD tem como objetivos:
a) Regulamentar os artigos 52 e 53 da LGPD e definir os critérios e parâmetros para as sanções pecuniárias e não pecuniárias pela ANPD, bem como as formas e dosimetrias para o cálculo do valor-base das multas;
b) Alterar os artigos 32, 55 e 62 da Resolução nº 1º CD/ANPD, com vistas a aprimorar o processo administrativo sancionador e de fiscalização, permitindo-se que a ANPD evolua na atividade repressiva, respeitados o devido processo legal e o contraditório, de modo a proporcionar segurança jurídica e transparência para todos os envolvidos.
Ademais, a elaboração do regulamento é um requisito, orientado pelo art.53 da LGPD, para a aplicação de multas pela Autoridade Nacional de Proteção de Dados.
E o que é dosimetria?
Dosimetria é o método que orienta a escolha da sanção mais apropriada para cada caso concreto em que houver violação à LGPD e permite calcular, quando cabível, o valor da multa aplicável ao infrator.
Em termos de Proteção de Dados, o Regulamento de Dosimetria e Aplicação de Sanções Administrativas é a norma que vai estabelecer as circunstâncias, as condições e os métodos de aplicação das sanções, considerando, dentre outros aspectos, o dano ou o prejuízo causado aos titulares de dados pelo descumprimento à Lei Geral de Proteção de Dados Pessoais – LGPD.
Quais são as sanções que poderão ser aplicadas em caso de infração à LGPD?
Em caso de infração aos dispositivos da LGPD, poderão ser aplicadas todas as sanções já previstas na própria Lei, que são:
- Advertência;
- Multa simples, de até 2% (dois por cento) do faturamento da empresa, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais), por infração;
- Multa diária, com limite total de R$ 50.000.000,00 (cinquenta milhões de reais);
- Publicização da infração;
- Bloqueio dos dados pessoais;
- Eliminação dos dados pessoais;
- Suspensão parcial do funcionamento do banco de dados por no máximo de 6 (seis) meses, prorrogável por igual período, até que se regularize a situação;
- Suspensão do exercício da atividade de tratamento dos dados pessoais por no máximo de 6 (seis) meses, prorrogável por igual período;
- Proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
A Autoridade poderá aplicar, além das multas, punições bastante severas aos infratores que não se adequarem às disposições da Lei Geral de Proteção de Dados Pessoais, como, por exemplo, a publicização da infração, em que a infração passa a ser pública podendo causar prejuízos incalculáveis à imagem do infrator, e o bloqueio dos dados pessoais, impedindo o infrator de utilizar-se daquele banco de dados pessoais obtidos a partir de violações à LGPD.
Qual o destino do dinheiro arrecadado com as multas?
Segundo a ANPD, a arrecadação das multas aplicadas será destinada ao Fundo de Defesa de Direitos Difusos, que tem por finalidade a reparação dos danos causados ao meio ambiente, ao consumidor, a bens e direitos de valor artístico, estético, histórico, turístico, paisagístico, por infração à ordem econômica e a outros interesses difusos e coletivos.
E como as sanções serão aplicadas a partir de agora?
As sanções administrativas provenientes de descumprimento ou violação à LGPD, serão aplicadas depois de uma análise feita em processo administrativo caso a caso. Esse processo deverá dar a oportunidade de ampla defesa, de acordo com as peculiaridades do caso concreto e conforme os seguintes critérios:
- Gravidade e natureza das infrações e dos direitos pessoais afetados;
- Boa-fé do infrator;
- Vantagem auferida ou pretendida pelo infrator;
- Condição econômica do infrator;
- Reincidência;
- Grau do dano;
- Cooperação do infrator;
- Adoção de mecanismos e procedimentos internos capazes de minimizar o dano;
- Adoção de política de boas práticas e governança;
- Pronta adoção de medidas corretivas; e
- Proporcionalidade entre a gravidade da falta e a intensidade da sanção.
Assim, o infrator deverá comprovar, a partir de evidências concretas a existência dos critérios acima elencados para redução de sua penalidade.
A Norma de Dosimetria da ANPD busca garantir a proporcionalidade entre a sanção aplicada e a gravidade da conduta do agente, além de prover segurança jurídica aos processos fiscalizatórios e garantir o direito ao devido processo legal e ao contraditório.
E o que muda a partir de agora?
Segundo a própria ANPD, a partir de agora a Autoridade poderá aplicar as sanções administrativas com base em requisitos claros e estabelecidos, pois a Norma de Dosimetria da ANPD entra em vigor imediatamente após a sua publicação.
Por dentro da Norma de Dosimetria da ANPD
A Norma de Dosimetria da ANPD está dividida em 3 capítulos, sendo eles: Capítulo I – Disposições Gerais, Capítulo II – Da Aplicação das Sanções e Capítulo III – Das Disposições Finais.
O Capítulo I da Norma de Dosimetria da ANPD nos traz algumas definições importantes para compreensão do Regulamento. Vejamos:
grupo ou conglomerado de empresas: conjunto de empresas de fato ou de direito com personalidades jurídicas próprias, sob direção, controle ou administração de uma pessoa natural ou jurídica ou ainda grupo de pessoas que detêm, isolada ou conjuntamente, poder de controle sobre as demais, desde que demonstrado interesse integrado, efetiva comunhão de interesses e atuação conjunta das empresas dele integrantes;
infração: descumprimento de obrigação estabelecida na Lei nº 13.709, de 14 de agosto de 2018 (LGPD), e nos regulamentos expedidos pela ANPD;
infração permanente: conduta infrativa que se prolonga no tempo, mediante ação ou omissão do infrator referente ao mesmo dispositivo normativo;
infrator: agente de tratamento que comete infração;
medidas corretivas: medidas determinadas pela ANPD com a finalidade de corrigir a infração e reconduzir o infrator à plena conformidade à LGPD e aos regulamentos expedidos pela ANPD, devendo ser aplicadas conjuntamente com a sanção de advertência, nos termos deste Regulamento;
política de boas práticas e de governança: normas e processos internos que assegurem o cumprimento abrangente da legislação de proteção de dados pessoais, estabelecidos e implementados pelo agente de tratamento mediante a adoção de:
a) regras de boas práticas e de governança, nos termos do art. 50, caput e § 1º, da LGPD; ou
b) programa de governança em privacidade, nos termos do § 2º do art. 50 da LGPD;
ramo de atividade empresarial: área de atuação de empresa, grupo ou conglomerado de empresas, conforme definido pela ANPD e verificado no caso concreto, podendo ser comprovada mediante objeto social, código de Classificação Nacional de Atividades Econômicas (CNAE), código de serviço diretamente relacionado, ou instrumentos congêneres;
reincidência específica: repetição de infração pelo mesmo infrator ao mesmo dispositivo legal ou regulamentar, no período de 5 (cinco) anos, contado do trânsito em julgado do processo administrativo sancionador, até a data do cometimento da nova infração;
reincidência genérica: cometimento de infração pelo mesmo infrator, independentemente do dispositivo legal ou regulamentar, no período de 5 (cinco) anos, contado do trânsito em julgado do processo administrativo sancionador até a data do cometimento da nova infração, excluído o disposto no inciso VIII do caput; e
trânsito em julgado: atributo de decisão definitiva proferida em processo administrativo sancionador, no âmbito da ANPD, tornando-a imutável e indiscutível dentro do processo em que foi proferida.
Já o Capítulo II da Norma de Dosimetria da ANPD é o principal norte para a aplicação das sanções administrativas e encontra-se subdividido em algumas seções, conforme abaixo exposto:
Seção I – Das Sanções Administrativas
Seção II – Da Classificação das Infrações
Seção III – Da Aplicação de Advertência
Seção IV – Da Aplicação de Multa Simples
Seção V – Da Aplicação de Multa Diária
Seção VI – Do Pagamento da Sanção de Multa
Seção VII – Da Publicização da Infração
Seção VIII – Do Bloqueio dos Dados Pessoais
Seção IX – Da Eliminação de Dados Pessoais
Seção X – Da Suspensão Parcial do Funcionamento do Banco de Dados
Seção XI – Da Suspensão do Exercício de Atividade de Tratamento de Dados Pessoais
Seção XII – Da Proibição Parcial ou Total do Exercício de Atividades Relacionadas a Tratamento de Dados
Por fim, o Capítulo III prevê que as disposições constantes da Norma de Dosimetria da ANPD aplicam-se também aos processos administrativos em curso quando de sua entrada em vigor.
Circunstâncias Agravantes e Atenuantes para definição de Multa
A Norma de Dosimetria da ANPD detalhou o que será considerado como circunstâncias Agravantes e Atenuantes além da sua consequência para o cálculo da multa pecuniária.
A seguir, detalharemos os critérios para consideração de circunstâncias agravantes e circunstâncias atenuantes e suas consequências.
Com relação às circunstâncias Agravante, a Norma de Dosimetria da ANPD nos trouxe o seguinte cenário:
Circunstâncias Agravantes | Consequência |
reincidência específica | O valor da multa simples será acrescido em 10% (dez por cento) para cada caso de reincidência específica, até o limite de 40% (quarenta por cento); |
reincidência genérica | O valor da multa simples será acrescido em 5% (cinco por cento) para cada caso de reincidência genérica, até o limite de 20% (vinte por cento); |
medida de orientação ou preventiva descumprida no processo de fiscalização ou do procedimento preparatório que precedeu o processo administrativo sancionador | O valor da multa simples será acrescido em 20% (vinte por cento) para cada medida de orientação ou preventiva descumprida no processo de fiscalização ou do procedimento preparatório que precedeu o processo administrativo sancionador, até o limite de 80% (oitenta por cento); e |
medida corretiva descumprida | O valor da multa simples será acrescido em 30% (trinta por cento) para cada medida corretiva descumprida, até o limite de 90% (noventa por cento). |
A Norma de Dosimetria da ANPD prevê, ainda, que na hipótese de incidência de mais de uma das circunstâncias acima descritas, deverão ser somados os percentuais relativos a cada fator.
Além disso, na hipótese de haver registros computáveis a título de reincidência específica além do suficiente para a incidência do percentual máximo de agravamento, os excedentes ingressarão na categoria de reincidência genérica, para o acréscimo previsto na Norma.
Com relação às circunstâncias Atenuantes, a Norma de Dosimetria da ANPD nos trouxe o seguinte cenário:
Circunstâncias Atenuantes | Consequência |
cessação da infração previamente à instauração de procedimento preparatório pela ANPD | O valor da multa simples será reduzido em 75% (setenta e cinco por cento), se previamente à instauração de procedimento preparatório pela ANPD; |
cessação da infração após a instauração de procedimento preparatório e até a instauração de processo administrativo sancionador | O valor da multa simples será reduzido em 50% (cinquenta por cento), se após a instauração de procedimento preparatório e até a instauração de processo administrativo sancionador; |
cessação da infração após a instauração de processo administrativo sancionador e até a prolação da decisão de primeira instância no âmbito do processo administrativo sancionador | O valor da multa simples será reduzido em 30% (trinta por cento), se após a instauração de processo administrativo sancionador e até a prolação da decisão de primeira instância no âmbito do processo administrativo sancionador; |
nos casos de implementação de política de boas práticas e de governança ou de adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar os danos aos titulares, voltados ao tratamento seguro e adequado de dados | O valor da multa simples será reduzido em 20% (vinte por cento), nos casos de implementação de política de boas práticas e de governança ou de adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar os danos aos titulares, voltados ao tratamento seguro e adequado de dados, até a prolação da decisão de primeira instância no âmbito do processo administrativo sancionador; |
comprovado a implementação de medidas capazes de reverter ou mitigar os efeitos da infração sobre os titulares de dados pessoais afetados | O valor da multa simples será reduzido em 20% (vinte por cento), nos casos em que o infrator tenha comprovado a implementação de medidas capazes de reverter ou mitigar os efeitos da infração sobre os titulares de dados pessoais afetados, previamente à instauração de procedimento preparatório ou processo administrativo sancionador pela ANPD; |
comprovado a implementação de medidas capazes de reverter ou mitigar os efeitos da infração sobre os titulares de dados pessoais afetados | O valor da multa simples será reduzido em 10% (dez por cento), nos casos em que o infrator tenha comprovado a implementação de medidas capazes de reverter ou mitigar os efeitos da infração sobre os titulares de dados pessoais afetados, se após a instauração de procedimento preparatório e até a instauração de processo administrativo sancionador; |
cooperação ou boa-fé por parte do infrator | O valor da multa simples será reduzido em 5% (cinco por cento), nos casos em que se verifique a cooperação ou boa-fé por parte do infrator. |
A Norma de Dosimetria da ANPD esclarece que não serão consideradas atenuantes a cessação da infração e a adoção de medidas capazes de reverter ou mitigar os efeitos da infração decorrentes do mero cumprimento de determinação administrativa ou judicial.
Ainda, em caso de incidência de mais de um dos incisos deste artigo, deverão ser somados os percentuais relativos a cada fator.
Além disso, caberá ao infrator o ônus de comprovar perante a ANPD o cumprimento dos requisitos acima descritos.
A seguir, abordaremos um pouco sobre a Metodologia para a Aplicação da Sanção de Multa pecuniária.
Evite multas, adeque sua empresa aos requisitos da LGPD!
Metodologia para Aplicação de Sanção de Multa
No Apêndice I da Norma de Dosimetria da ANPD temos de forma detalhada como se dará o cálculo da multa pecuniária por violação à LGPD.
A metodologia conta com 4 etapas para definição do valor da multa, sendo elas:
Etapa 1 – Determinação da Alíquota-base
Etapa 2 – Determinação do Valor-base
Etapa 3 – Determinação do valor da multa
Etapa 4 – Adequação aos limites mínimo e máximo da multa
Live – Lançamento da Norma de Dosimetria e Aplicação de Sanções Administrativas
A Autoridade Nacional de Proteção de Dados realizou no dia 01/03/2023 uma live para apresentar os principais pontos do Regulamento de Dosimetria e esclarecimento de dúvidas sobre a sua aplicação. Confira a seguir:
Acesse a Norma de Dosimetria da ANPD na íntegra pelo link: https://www.gov.br/anpd/pt-br/assuntos/noticias/anpd-publica-regulamento-de-dosimetria/Resolucaon4CDANPD24.02.2023.pdf
Consequência da Norma de Dosimetria da ANPD para as empresas
A partir de agora, com a publicação da Norma de Dosimetria da ANPD, as empresas deverão ficar, ainda mais, atentas aos seus processos internos, bem como para a homologação de novos fornecedores e parceiros de negócio, uma vez que poderão ser responsabilizadas pelo tratamento de dados pessoais realizados por si própria ou terceiros por ela contratados.
Desta forma, se a sua empresa ainda não está adequada aos requisitos da LGPD, bem como não conta com nenhuma evidência de boas práticas em proteção de dados pessoais, fique atento!
Você deve buscar, agora mesmo, especialistas em adequação à LGPD para prover mais segurança jurídica ao seu negócio!