ANPD publica norma para apliação de multas da LGPD

por | 13/02/23

Artigo escrito: Eduarda Santana

No dia 27 de fevereiro deste ano, a ANPD publicou norma para aplicação de multas da LGPD, a norma de dosimetria estabelece os parâmetros para a aplicação das sanções a violações de dados pessoais. O regulamento (resolução cd/anpd nº 4) apresenta parâmetros para a aplicação das multas e demais sanções e vem reforçar, ainda mais, a importância da adequação das empresas à LGPD. 

Vamos abordar aqui alguns pontos importantes a respeito da nova Resolução. 

1 – Quais são os tipos de sanções previstas? 

A Resolução estabelece como sanções: 

  • Advertência;
  • Multa simples;
  • Multa diária;
  • Publicização da infração;
  • Bloqueio dos dados pessoais a que se refere a infração;
  • Eliminação dos dados pessoais a que se refere a infração;
  • Suspensão parcial do funcionamento do banco de dados a que se refere a infração; 
  • Suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração;
  • Proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados;

1.1 Multas

A multa, talvez a mais temida das sanções previstas na Lei, será aplicada de acordo com a gravidade da infração:

  • Para infrações leves, o valor poderá variar de 0,08% a 0,15% do faturamento. 
  • Para infrações médias, o valor será fixado entre 0,13% e 0,5% do faturamento.
  • Para as infrações graves, a multa poderá ser de 0,45% a 1,5% do faturamento.

Conforme apresentado anteriormente, a depender do interesse público e da relevância da infração cometida, o Regulamento dispõe que a ANPD pode determinar também a publicização do ato. Se por um lado há um acentuada importância em relação a aplicação de multas, por outro lado a possibilidade de publicização do ato infrator também deveria estar sendo motivo de atenção das empresas, uma vez que essa publicização pode impactar gravemente a  a reputação do negócio e colocar em seque a capacidade da empresa em cuidar dos dados pessoais dos titulares de dados (clientes ou colaboradores, por exemplo).   

2 – O que será levado em consideração no momento de fixação da sanção?

Para fixação das penalidades, a Resolução estabelece que a gravidade, a reincidência, o número de titulares afetados, o dolo e a culpa do infrator serão alguns dos fatores observados. Já para fins de redução das penalidades, serão consideradas as medidas técnicas e organizacionais preventivas adotadas como forma de minimizar os riscos à privacidade e proteção dos dados.

Na fixação das multas e advertências será considerado também se houve boa-fé do infrator – o que poderá ser evidenciado, por exemplo, por meio da adequação da empresa à LGPD, com a implementação de programas de adequação completos e consistentes. Essa medida também tende a facilitar eventual defesa administrativa e/ ou judicial.

Outro ponto avaliado para a fixação da sanção é a existência de vantagem auferida ou intenção de obter algum benefício com o ato infrator realizado, por exemplo, em uma situação em que o agente de tratamento utiliza os dados coletados para obter vantagem particular, em desacordo com a finalidade adequada. 

Situação hipotética: o Banco xyz coleta dados pessoais para prestar serviços bancários solicitados pelos seus clientes, abrir conta corrente, obter empréstimos, fazer consultas a saldo etc. No entanto, com o objetivo de obter vantagem financeira indevida, o Banco xyz passa a compartilhar os dados desses clientes, sem consentimento, para a Financeira abc, empresa parceira que passa a pagar percentual sobre vendas de seguros ofertados e aceitos a essa lista de clientes do Banco xyz . 

A resolução apresenta, ainda, como fator atenuante às sanções, a cooperação dos envolvidos e a prontidão na adoção de meditas corretivas. Existe a previsão de que, a depender da celeridade na cessação da prática, a multa possa ser reduzida em 75% do valor original.  Além disso, as sanções serão aplicadas apenas após decisão fundamentada da ANPD, portanto ressalta-se a importância da condução de um programa que estabeleça medidas preventivas de adequação e do Data Protection Officer ou encarregado de dados, profissional especializado. 

3– Quem poderá ser multado?

O art. 4 da Resolução dispõe que, nas situações em que há pluralidade de agentes infratores, a reponsabilidade irá recair sobre cada um deles, de forma individualizada. Se o Operador, no exercício de suas atribuições, não realizar o tratamento adequado dos dados pessoais, a responsabilidade também incidirá sobre o agente que compartilhou tais informações – no caso, o Controlador de dados pessoais.

Ou seja, é importante que haja garantias no compartilhamento dos dados pessoais com agentes externos, sejam parceiros, fornecedores e terceiros em geral; pois a responsabilidade irá recair sobre todos os agentes envolvidos e responsáveis pela violação aos direitos do titular de dados – todos os envolvidos naquela cadeia de tratamento de dados pessoais. 

4– Quais infrações serão influenciadas temporalmente pela Resolução CD/ANPD nº 4?

Os parâmetros dessa regulação, ou seja, a definição das circunstâncias, as condições e os métodos de aplicação das sanções incidem sobre Infrações praticadas a partir de 1º de agosto de 2021. Convém ressaltar que ainda não há unamidade em relação à retroatividade da aplicação da sanção para atos continuamente lesivos praticados anteriormente à “data de corte”. Sobre esta questão, nosso entendimento é de que há hipóteses de retroatividade.

Conclusão 

Todas as disposições da regulação, sob o ponto de vista principiológico, estão em consonância ao disposto na LGPD e reforçam a importância da adequação das empresas às normas estabelecidas. 

A dosimetria definida pela ANPD torna palpável o modo como a Autoridade irá se posicionar diante de uma infração, fator que contribui para a segurança jurídica dos jurisdicionados. Marcadamente, consiste na definição de método que orienta a escolha da sanção mais apropriada para cada caso vislumbrado, disponibilizando ferramentas para a realização inclusive do cálculo do valor da multa aplicável ao infrator. 

Nos últimos 3 anos, acumulamos a experiência de projetos complexos de adequação à LGPD e à GDPR, inclusive no papel de DPO. 

Nosso escritório, que exerce suas atividades há 14 anos, acumulou experiência em diversas temáticas de direito administrativo sancionador: processos administrativos disciplinares; ações de improbidade; processos sancionadores contratuais; e até acordos de leniência. A conjugação das especializações no direito administrativo sancionador e na LGPD está à disposição dos nossos clientes para a prevenção e defesa em autuações e fiscalizações.