A dosimetria da pena de multa aplicada pela ANPD em caso de incidentes com dados pessoais

[vc_row][vc_column][vc_column_text]

A Lei Geral de Proteção de Dados (LGPD) já está em vigor desde setembro de 2020, mas até agora não havia sido detalhada, de forma clara, como seria realizada a aplicação das penalidades previstas na Lei por parte da Autoridade Nacional de Proteção de Dados (ANPD).

No entanto, no final de fevereiro, foi editada, pela ANPD, a RESOLUÇÃO CD/ANPD Nº 4, que aprovou o Regulamento de Dosimetria e Aplicação de Sanções Administrativas.

Assim, a partir de tal data, as regras ficaram claras de como serão feitas as punições na esfera administrativa por parte da Autoridade Nacional.

Antes de mais nada, contudo, necessário se faz relembrar quais são as sanções que podem ser aplicadas pela ANPD contra controladores e operadores de tratamento de dados pessoais, em caso de incidentes com tais dados.

1) SANÇÕES ADMINISTRATIVAS:

Nos termos da Lei, as sanções administrativas são as seguintes:

I – advertência;

II – multa simples;

III – multa diária;

IV – publicização da infração, após devidamente apurada e confirmada a sua ocorrência;

V – bloqueio dos dados pessoais a que se refere a infração, até a sua regularização;

VI – eliminação dos dados pessoais a que se refere a infração;

VII – suspensão parcial do funcionamento do banco de dados a que se refere a infração;

VIII – suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração; e

IX – proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.

Importante esclarecer, ainda, que a Resolução mencionada traz os critérios e parâmetros que devem ser utilizados para que haja a correta definição da sanção.

Desta forma, para que a ANPD decida qual sanção deve ser aplicada ao caso especifico, deve-se levar em consideração: a gravidade e a natureza das infrações e dos direitos pessoais afetados; a boa-fé do infrator; a vantagem auferida ou pretendida pelo infrator; a condição econômica do infrator; a reincidência específica; a reincidência genérica; o grau do dano; a cooperação do infrator; a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados, em consonância com a LGPD; a adoção de política de boas práticas e governança; a pronta adoção de medidas corretivas; e, a proporcionalidade entre a gravidade da falta e a intensidade da sanção.

Fica evidente, desta feita, que o controlador ou o operador estarem adequados à LGPD, bem como, em caso de incidentes, saberem quais atitudes devem tomar de imediato, a fim de minimizar os danos causados pelo incidente com os dados pessoais, são critérios fundamentais para que se aplique uma sanção mais branda em detrimento de penalidades mais severas.

Caso o controlador ou operador de dados, portanto, não estejam adequados e não possuam manuais, políticas e planos claros, poderão sofrer sanções mais graves, que poderão comprometer suas operações.

Feitas essas considerações iniciais, este texto tratará exclusivamente da penalidade de aplicação da multa simples, cuja dosimetria foi definida na Resolução e que traz maiores interesses para o dia a dia dos controladores e operadores de dados pessoais, já que podem chegar a 2% do faturamento da empresa.

2) CLASSIFICAÇÃO DAS INFRAÇÕES:

A Resolução da ANPD traz os graus das infrações, subdividindo-as em leves, médias e graves.

As infrações são consideradas médias quando puderem afetar significativamente interesses e direitos fundamentais dos titulares de dados pessoais, assim como ocasionar danos materiais ou morais aos titulares, tais como discriminação; violação à integridade física; ao direito à imagem e à reputação; fraudes financeiras ou uso indevido de identidade.

As infrações graves são aquelas que, além de terem como características os requisitos descritos no parágrafo anterior, cumulativamente, envolver tratamento de dados pessoais em larga escala, caracterizado quando abranger número significativo de titulares, considerando-se, ainda, o volume de dados envolvidos, bem como a duração, a frequência e a extensão geográfica do tratamento realizado; o infrator auferir ou pretender auferir vantagem econômica em decorrência da infração cometida; a infração implicar risco à vida dos titulares; a infração envolver tratamento de dados sensíveis ou de dados pessoais de crianças, de adolescentes ou de idosos; o infrator realizar tratamento de dados pessoais sem amparo em uma das hipóteses legais previstas na LGPD; o infrator realizar tratamento com efeitos discriminatórios ilícitos ou abusivos; ou verificada a adoção sistemática de práticas irregulares pelo infrator.

Ademais, será considerada grave a infração que constituir obstrução à atividade de fiscalização.

Por fim, as infrações leves são aquelas que não se enquadrem nas médias e nas graves, conforme determinações mencionadas acima.

3) DO VALOR-BASE DA MULTA

Para que seja calculado o valor-base da multa a ser aplicada pela ANPD, a Resolução trouxe algumas metodologias, que devem obedecer aos seguintes elementos:

I – a classificação da infração;

II – o faturamento do infrator no último exercício disponível anterior à aplicação da sanção, excluídos os tributos; e,

III – o grau do dano.

4) DAS CIRCUNSTÂNCIAS AGRAVANTES E ATENUANTES

Na dosimetria da multa ainda devem ser levadas em consideração circunstâncias agravantes e atenuantes.

Desta forma, o valor da multa simples será acrescido nos percentuais abaixo, caso incidam as seguintes circunstâncias agravantes:

I – 10% (dez por cento) para cada caso de reincidência específica, até o limite de 40% (quarenta por cento);

II – 5% (cinco por cento) para cada caso de reincidência genérica, até o limite de 20% (vinte por cento);

III – 20% (vinte por cento) para cada medida de orientação ou preventiva descumprida no processo de fiscalização ou do procedimento preparatório que precedeu o processo administrativo sancionador, até o limite de 80% (oitenta por cento); e,

IV – 30% (trinta por cento) para cada medida corretiva descumprida, até o limite de 90% (noventa por cento).

 Por outro lado, haverá a aplicação de atenuantes, com a consequente redução do valor da multa, nas seguintes situações:

I- nos casos de cessação da infração:

1. a) 75% (setenta e cinco por cento), se previamente à instauração de procedimento preparatório pela ANPD;

2. b) 50% (cinquenta por cento), se após a instauração de procedimento preparatório e até a instauração de processo administrativo sancionador; ou

3. c) 30% (trinta por cento), se após a instauração de processo administrativo sancionador e até a prolação da decisão de primeira instância no âmbito do processo administrativo sancionador;

II – 20% (vinte por cento), nos casos de implementação de política de boas práticas e de governança ou de adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar os danos aos titulares, voltados ao tratamento seguro e adequado de dados, até a prolação da decisão de primeira instância no âmbito do processo administrativo sancionador;

III – nos casos em que o infrator tenha comprovado a implementação de medidas capazes de reverter ou mitigar os efeitos da infração sobre os titulares de dados pessoais afetados:

1. a) 20% (vinte por cento), previamente à instauração de procedimento preparatório ou processo administrativo sancionador pela ANPD; ou

2. b) 10% (dez por cento), se após a instauração de procedimento preparatório e até a instauração de processo administrativo sancionador; e,

IV – 5% (cinco por cento), nos casos em que se verifique a cooperação ou boa-fé por parte do infrator.

Fica evidente, assim, que, a partir de agora, a ANPD possui critérios claros e objetivos para realizar a fiscalização e punição dos controladores e operadores de dados pessoais, quando for encontrada alguma irregularidade ou incidente com tais dados pessoais.

Em específico, a aplicação da penalidade de multa será realizada pela ANPD, contra o controlador ou operador de dados pessoais que: não tenham atendido as medidas preventivas ou corretivas a eles impostas, dentro dos prazos estabelecidos, quando aplicável; praticarem infração classificada como grave; ou, pela natureza da infração, da atividade de tratamento ou dos dados pessoais, e pelas circunstâncias do caso concreto, não for adequado aplicar outra sanção.

Portanto, as empresas precisam ficar atentas e realizarem a adequação o quanto antes para, havendo algum incidente sob sua responsabilidade, consigam uma punição mais branda possível, de acordo com os critérios definidos pela ANPD.

Por Márcio Alexandre Ioti Henrique, advogado tributarista e sócio do escritório Henrique & Gaspar Sociedade de Advogados.

[/vc_column_text][/vc_column][/vc_row]