A Autoridade Nacional de Proteção de Dados (ANPD) publicou em 27 de fevereiro o regulamento que estabelece parâmetros e critérios para aplicação de sanções administrativas.
Além de prever regras específicas para a aplicação das sanções, como aplicação gradativa, isolada ou cumulativamente, o regulamento garante que somente haverá penalidade após procedimento administrativo baseado em decisão fundamentada pela ANPD, assegurado o direito à ampla defesa, ao contraditório e ao devido processo legal.
As infrações poderão ser classificadas como graves, médias ou leves. Será considerada média a infração que afetar significativamente interesses e direitos fundamentais dos titulares de dados pessoais. A infração grave será aquela em que haja obstrução à atividade de fiscalização e ainda:
- envolva tratamento de dados pessoais em larga escala;
- haja vantagem econômica em decorrência da infração cometida;
- implique risco à vida dos titulares;
- envolva tratamento de dados sensíveis ou de dados pessoais de crianças, de adolescentes ou de idosos;
- realize o tratamento de dados pessoais sem amparo em uma das hipóteses legais
previstas na Lei Geral de Proteção de Dados (Lei 13.709/18 – LGPD);
- caracterize tratamento com efeitos discriminatórios ilícitos ou abusivos; ou
- seja verificada a adoção sistemática de práticas irregulares pelo infrator.
Será considerada leve a infração que não caracterizar nenhuma das hipóteses acima.
As sanções por infração às normas já eram previstas na LGPD, em seu artigo 52. A ANPD, porém, apresentou mais critérios para avaliação dessas sanções:
- em relação à sanção de advertência, será aplicada para casos de infração leve ou média e não caracterizar reincidência específica ou houver necessidade de imposição de medidas corretivas.
- multa simples, de até 2% do faturamento – limitada a R$ 50 milhões –, por infração, caso seja considerada grave, quando as medidas preventivas ou corretivas não tiverem sido atendidas ou pela natureza da infração, da atividade de tratamento ou dos dados pessoais e pelas circunstâncias do caso concreto.
O critério para identificação do valor-base para aplicação de sanção de multa é apresentado em apêndice específico do regulamento, que trata da classificação da informação, do faturamento do infrator e do grau do dano.
O regulamento prevê ainda as regras específicas para definição do faturamento, que poderá ser desde a receita bruta, montante total de recursos auferidos, até valor definido pela ANPD, de acordo com critérios estabelecidos no regulamento, para casos em que o infrator não apresentar documentação comprobatória.
Além disso, o regulamento estabelece que a multa simples poderá ser acrescida em até 40% para casos de reincidência específica, até 20% em casos de reincidência genérica ou para cada medida de orientação ou preventiva descumprida e até 30% para cada medida corretiva descumprida."
A multa também poderá ser atenuada em até 75% em casos de cessação da infração, implementação de política de boas práticas e de governança, demonstração de mecanismos e procedimentos internos capazes de minimizar os danos aos titulares e comprovação de implementação de medidas capazes de reverter ou mitigar os efeitos da infração sobre os titulares de dados pessoais afetados.
- multa diária, que será aplicada para assegurar o cumprimento, em prazo certo, de uma sanção não pecuniária ou de uma determinação estabelecida pela ANPD, aplicada de forma acumulada, considerando o tempo entre a incidência da multa e o cumprimento da obrigação, além da classificação da infração e do grau do dano.
Essa sanção também poderá ser aplicada após ausência de ajustes nas irregularidades no prazo assinalado, obstrução à atividade de fiscalização ou pela prática de infração permanente não cessada até a decisão. A multa poderá ser reduzida nos casos de renúncia ao direito de recorrer da decisão de primeira instância.
A multa diária deverá ser paga no prazo de até 20 dias úteis e incidirá a partir do primeiro dia útil de atraso no cumprimento da sanção ou do dia útil após a ciência da intimação da decisão que a estipulou até o cumprimento da obrigação. A ausência ou atraso no pagamento ocasionará aplicação de juros de mora e multa moratória de 0,33%.
- bloqueio dos dados pessoais relacionados à infração até a sua regularização, caracterizada na suspensão temporária de qualquer operação de tratamento com esses dados pessoais, mediante a sua guarda, até a regularização da conduta pelo infrator. Nesses casos, o infrator deverá comunicar o cumprimento da obrigação e comprovar a regularização para que haja o desbloqueio.
- eliminação dos dados pessoais relacionados à infração, ou seja, exclusão do dado ou de conjunto de dados armazenados em banco de dados, que devem ser igualmente comunicados à ANPD, exceto nos casos em que a comunicação seja comprovadamente impossível ou implique esforço desproporcional.
- suspensão parcial do funcionamento do banco de dados relacionado à infração pelo período máximo de seis meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador. Para esses casos, também haverá necessidade de comprovar a regularização para restabelecer o funcionamento.
- suspensão do exercício da atividade de tratamento dos dados pessoais relacionados à infração pelo período máximo de seis meses, prorrogável por igual período, considerado o interesse público, o impacto aos direitos dos titulares de dados pessoais e a classificação da infração.
- proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados para os casos em que: houver reincidência em infração punida com suspensão parcial do banco de dados ou da atividade de tratamento dos dados pessoais; ocorrer tratamento de dados pessoais com fins ilícitos ou sem amparo em hipótese legal; ou quando não atender às condições técnicas e operacionais para manter o adequado tratamento de dados pessoais.
A sanção que determina a publicização da infração após devidamente apurada e confirmada a sua ocorrência não traz muitas informações no regulamento. Estabelece apenas que não se confunde com a publicação de decisão de aplicação de sanção administrativa no Diário Oficial da União ou com os demais atos realizados pela ANPD, para fins de atendimento ao princípio da publicidade administrativa.
Além do disposto acima, o regulamento também estabelece as seguintes regras:
- as sanções de suspensão parcial do funcionamento do banco de dados, suspensão do exercício da atividade de tratamento dos dados pessoais e proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados somente serão aplicadas após já ter sido imposta ao menos uma das demais sanções para o mesmo caso concreto.
Nesses casos, a ANPD dará ciência ao principal órgão ou entidade reguladora setorial para que se manifeste, no prazo de 20 dias, sobre eventuais consequências da imposição das sanções para o exercício de atividades econômicas;
- as sanções poderão ser aplicadas às entidades e aos órgãos públicos, com exceção das sanções que preveem aplicação de multa; e
- os parâmetros e critérios para definição da sanção devem seguir:
- a gravidade e a natureza das infrações e dos direitos pessoais afetados;
- a boa-fé do infrator;
- a vantagem auferida ou pretendida pelo infrator;
- a condição econômica do infrator;
- a reincidência específica;
- a reincidência genérica;
- o grau do dano;
- a cooperação do infrator;
- a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados, de acordo com a LGPD;
- a adoção de política de boas práticas e governança;
- a pronta adoção de medidas corretivas; e
- a proporcionalidade entre a gravidade da falta e a intensidade da sanção.
A ANPD descreve também, nos anexos do regulamento, a metodologia para os cálculos para sanção de multa. Para a multa simples, o cálculo total inclui, em suma, o valor-base da multa multiplicado por um, mais a soma dos percentuais de agravantes, menos a soma dos percentuais de atenuantes.
Para a aplicação dessa fórmula, primeiramente deverá ser definida a alíquota-base que vai de 0,08%, alíquota mínima para infrações leves, até 1,5%, alíquota máxima para infrações graves.
Após a definição da alíquota, determina-se o grau do dano, classificado de 0 a 3, que abrange desde ausência de danos ou impactos insignificantes aos titulares até lesão ou ofensa a direitos ou interesses difusos, coletivos ou individuais, assim como os valores mínimo e máximo para definição do valor-base de multa.
Definido o grau do dano, determina-se a alíquota-base de sanção da multa, que considera alíquota máxima em função da classificação da infração menos a alíquota mínima, dividido por três, multiplicado pelo grau do dano e somado à alíquota mínima.
O valor-base para aplicação da multa, por sua vez, é calculado pela multiplicação da alíquota-base pelo faturamento bruto, excluídos os tributos. Para os casos em que não haja faturamento, será realizado cálculo similar ao da alíquota, considerando, porém, valor máximo e mínimo em função da classificação da infração.
O valor-base poderá ser, no mínimo, R$ 1,5 mil, para infrações leves, até R$ 15.750.00, para infrações graves.
Para os casos em que a vantagem auferida seja estimável, o valor da multa será o dobro da vantagem. Para esses casos, haverá uma adequação aos limites mínimo e máximo da multa: R$ 1 mil a R$ 4 mil, para infratores pessoa natural ou pessoa jurídica sem faturamento, e de R$ 3 mil a R$ 12 mil, para demais tipos de pessoa jurídica.