No último dia 27, foi publicada a Resolução CD/ANPD nº 4, de 24 de fevereiro de 2023, que aprovou o Regulamento de Dosimetria e Aplicação de Sanções Administrativas da Agência Nacional de Proteção de Dados (ANPD).

O Regulamento em questão dispõe sobre as regras que serão observadas para a definição, o cálculo e a aplicação de sanções pela ANPD, em razão de infrações às normas previstas pela Lei Geral de Proteção de Dados Pessoais (LGPD).

Além de aprovar o Regulamento em questão, a Resolução promoveu algumas alterações no Regulamento do Processo Fiscalizador e do Processo Administrativo Sancionador no âmbito da ANPD, aprovado pela Resolução CD/ANPD nº 1, de 28 de outubro de 2021, passando a prever, por exemplo, que o não atendimento de medida preventiva será considerado como circunstância agravante em caso de instauração de processo administrativo sancionador.

No que se refere às regras para a dosimetria e aplicação das sanções administrativas pela ANPD, foram previstos critérios objetivos para a definição da gravidade das infrações cometidas, bem como a metodologia de cálculo para a definição do valor-base das multas e os percentuais de acréscimo ou redução no valor destas de acordo com eventuais circunstâncias agravantes ou atenuantes incidentes.

Nesse sentido, o Regulamento prevê que a infração será caracterizada como média quando puder afetar significativamente interesses e direitos do titular dos dados pessoais, sendo de natureza grave quando, adicionalmente a este fator, for configurada alguma das hipóteses descritas no art. 8º, §3º do Regulamento. Apenas na ausência de ambos os fatores mencionados, a infração será caracterizada como leve.

Dentre as hipóteses capazes de caracterizar a infração como grave, pode-se citar como exemplo as hipóteses em que a infração implique risco à vida dos titulares, bem como os casos que envolvam o tratamento de dados pessoais sensíveis ou o tratamento de dados pessoais de crianças, adolescentes e idosos.

Portanto, a depender das circunstâncias, a sanção aplicada poderá variar entre advertência e multa, cujo valor-base será definido de acordo com a gravidade da infração, o faturamento do infrator e o grau do dano causado, podendo ser majorado ou reduzido a depender da incidência de circunstâncias agravantes ou atenuantes, conforme já mencionado, de forma que o valor da multa poderá alcançar até 2% do faturamento do infrator, do grupo ou do conglomerado ou até 50 milhões de reais, tetos sancionatórios que já constavam da redação da LGPD.

Apesar de considerar o faturamento para a definição do valor-base, a aplicação de multa também alcança pessoas naturais e pessoas jurídicas sem faturamento, sendo descritos no Apêndice I do Regulamento os valores mínimos e máximos para a definição do valor-base da multa para esses grupos, de acordo com o cada tipo de infração.

Não somente, além das sanções já mencionadas, a ANPD também poderá determinar a suspensão temporária do tratamento de dados pelo infrator, a eliminação dos dados pessoais, a suspensão parcial do funcionamento do banco de dados e até mesmo a proibição parcial ou total do exercício de atividades relacionadas ao tratamento de dados pessoais, caso consubstanciadas as hipóteses descritas no Regulamento.

Considerando a publicação do Regulamento e a plena aplicabilidade das sanções previstas, é de suma importância a imediata adequação dos agentes de tratamento de dados às diretrizes previstas na LGPD, de forma a evitar a ocorrência de quaisquer infrações e a consequente penalização pela ANPD. Seguimos acompanhando os desdobramentos da LGPD e sua fiscalização pela Autoridade Nacional de Proteção de Dados.

Bianca Gonçalves Correia – bianca@cordeirolima.com.br

Isabella Vegro – isabella@cordeirolima.com.br

Caio Figueiroa – caio@cordeirolima.com.br