Como as novas regras da ANPD podem garantir desconto para empresas multadas pela LGPD
24 de março de 2023A ANPD trouxe condições que podem atenuar ou agravar as multas, destacando-se como condições agravantes do valor da infração
Por Filipe Ribeiro Duarte
Após longa espera e mais de 2.000 contribuições e comentários por parte da sociedade civil e setores da economia, a Autoridade Nacional de Proteção de Dados (ANPD) publicou, no dia 27 de fevereiro último, o Regulamento de Dosimetria e Aplicação de Sanções Administrativas, que prevê critérios para a aplicação das sanções administrativas previstas na Lei Geral de Proteção de Dados (LGPD — Lei 13.709/2018).
A ANPD agora possui todos os meios necessários à aplicação das sanções estabelecidas na lei, mas o novo regulamento deve ser avaliado em conjunto com a Resolução CD/ANPD nº. 01/2021, que trata do Processo de Fiscalização e do Processo Administrativo Sancionador no âmbito da Autoridade, que, grosso modo, estabelece os procedimentos e ritos da fiscalização e aplicação de eventual sanção administrativa.
A regulamentação é extensa, mas alguns pontos merecem destaque. O primeiro deles é a classificação das sanções conforme a gravidade, dividindo-se em sanções leves, médias e graves.
Vale lembrar que a LGPD prevê sanções como advertência, multa, publicização da infração, bloqueio e eliminação de dados pessoais, suspensão ou proibição da atividade de tratamento de dados ou multas de até 2% do faturamento que o infrator obteve no último exercício disponível, estando limitadas a R$ 50 milhões por infração. Esta classificação busca criar critérios a serem utilizados pela ANPD para determinar a sanção.
Pelo Regulamento, será considerada infração grave aquela que indicar ao menos um dos fatos abaixo:
-Envolver tratamento de dados em larga escala;
-O infrator auferir ou pretender auferir vantagem econômica;
-A infração implicar risco à vida dos titulares;
-A infração envolver dados sensíveis ou dados de crianças, adolescentes ou de idosos;
-O tratamento for realizado sem amparo de base legal;
-O tratamento for realizado com efeitos discriminatórios ilícitos ou abusivos;
-Quando for verificada a adoção sistemática de práticas irregulares ou quando houver obstrução da atividade fiscalizatória da ANPD.
A classificação e a respectiva penalidade são gradativas. Isto é, para que seja classificada enquanto grave, como regra, a situação também precisa ser enquadrada dentro da classificação de gravidade média. Infrações médias são situações em que a infração também precisa afetar interesses e direitos dos titulares ou ocasionar em danos morais ou materiais aos titulares, conforme previsto no § 2º do art. 8 do Regulamento.
Aqui vale uma crítica ao Regulamento. Desde 2022, a proteção de dados passou a ser um direito fundamental assegurado pela Constituição, sendo também um dos fundamentos da LGPD. A ANPD, ao considerar como infração média aquela que “puder afetar significativamente interesses e direitos fundamentais“, acaba por minimizar um direito constitucional.
Por fim, a infração leve será aquela em que não se verificar nenhuma das hipóteses das infrações médias ou graves.
Outro destaque está nos parâmetros e critérios que serão utilizados na definição da sanção, conforme prevê o art. 7 do Regulamento, com destaque para a boa-fé e a cooperação do infrator, a vantagem auferida ou pretendida, a reincidência, e, principalmente, a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar os danos, políticas de boas práticas e governança e a pronta adoção de medidas corretivas pelo infrator.
Os dispositivos conversam muito bem com o texto da Lei, pois a adoção reiterada e demonstrada, nada mais é do que um desdobramento do princípio da responsabilização e prestação de contas, que exige dos agentes de tratamento a comprovação de medidas eficazes e capazes de cumprir a regulação de proteção de dados.
Em outras palavras, não há espaço para adequação no papel sem monitoramento e acompanhamento das medidas adotadas pelos agentes de tratamento de dados e por seus membros diretores.
Na dosimetria da aplicação das multas, a ANPD trouxe condições que podem atenuar ou agravar as multas, destacando-se como condições agravantes do valor da infração os seguintes pontos:
(+) 10% em caso de reincidências específicas até o limite de 40%. A reincidência específica é a repetição da mesma infração no período de 5 anos;
(+) 5% em caso de reincidências genéricas até o limite de 20%. A reincidência genérica é quando o infrator que já tenha sido penalizado comete outra infração no período de 5 anos;
(+) 20% para cada medida de orientação ou preventiva apresentada pela ANPD descumprida até o limite de 80%;
(+) 30% para cada medida corretiva apresentada pela ANPD descumprida, até o limite de 90%
Mas há as seguintes condições atenuantes da multa:
(-) 75% no caso da interrupção da infração antes da instauração do procedimento preparatório da ANPD;
(-) 50% no caso da interrupção da infração após a instauração do procedimento preparatório da ANPD;
(-) 30% no caso da interrupção da infração após a instauração do processo administrativo da ANPD;
(-) 20% nos casos de implementação de política de boas práticas e de governança ou de adoção de medidas técnicas ou administrativas capazes de minimizar os danos aos titulares, até o adiamento da decisão de primeira instância no âmbito do processo administrativo sancionador;
(-) 20% se comprovada a implementação de medidas capazes de reverter ou mitigar os efeitos da infração previamente à instauração de procedimento preparatório ou processo administrativo sancionador pela ANPD;
(-) 10% se comprovada a implementação de medidas capazes de reverter ou mitigar os efeitos da infração após a instauração de procedimento preparatório ou processo administrativo sancionador pela ANPD;
(-) 5% nos casos em que se verifique a cooperação ou boa-fé por parte do infrator.
O desconto de 75% no caso da interrupção da infração é um sinal positivo para o mercado, pois demonstra a intenção da ANPD em conceder uma importante atenuante aos agentes de tratamento que tomarem iniciativa no estancamento da infração o quanto antes, de maneira responsiva, isto é, sem a necessidade de alguma medida por parte da Autoridade.
Por outro lado, aqueles que não cumprirem as orientações da ANPD poderão ter a multa majorada em 20% para cada medida não cumprida, limitando-se a 80% de majoração.
Esses pontos reforçam a tendência de uma regulação responsiva por parte dos órgãos reguladores, ao sair de um modelo meramente punitivo e criar incentivos para que os agentes cumpram voluntariamente as orientações e os requisitos da regulamentação.
No caso da LGPD, essa visão voluntária se materializará certamente na incorporação do monitoramento das medidas de adequação da LGPD na rotina dos agentes de tratamento, de modo a evitar “adequações no papel”, meramente documentais e contratuais, sem qualquer acompanhamento por parte dos decisores e equipes internas das organizações.
A Lei Geral de Proteção de Dados e a omissão da atuação da ANPD
ANPD lança guia orientativo “Cookies e Proteção de Dados Pessoais”
Autoridade Nacional de Proteção de Dados (ANPD) é transformada em autarquia de natureza especial
Somos o maior portal brasileiro sobre Criptografia e Identificação Digital
O CRYPTO ID TRILHOU UM CAMINHO INCRÍVEL NESSES 10 ANOS!!
Em novembro desse ano completaremos uma década dessa jornada. Levamos à cerca de dois milhões de leitores ano as melhores e mais atualizadas informações do mercado brasileiro e internacional sobre segurança digital e tecnologias que viabilizam a identificação de pessoas, empresas, aplicações e equipamentos em meio digital, recursos de assinatura eletrônica e controle de acesso para garantir transações seguras e confiáveis.