Foi publicado pelo Conselho Diretor da Autoridade Nacional de Proteção de Dados (ANDP) em, 27 de fevereiro de 2023, a Resolução CD/ANPD Nº 4/2023 que aprova o Regulamento de Dosimetria e Aplicação de Sanções Administrativas por descumprimento à Lei Geral de Proteção de Dados (LGPD).

A resolução estabelece as situações, condições e métodos para a aplicação das sanções previstas no artigo 52 da LGPD, quais sejam:

• Multa simples, de até 2% do faturamento da empresa, limitada, no total, a R$ 50.000.000,00 por infração;
• Multa diária, com limite total de R$ 50.000.000;
• Advertência;
• Publicização da infração;
• Bloqueio dos dados pessoais;
• Eliminação dos dados pessoais;
• Suspensão parcial do funcionamento do banco de dados por no máximo de seis meses, prorrogável por igual período, até que se regularize a situação;
• Suspensão do exercício da atividade de tratamento dos dados pessoais por no máximo de (6) seis meses, prorrogável por igual período;
• Proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.

E considera, dentre outros critérios, o dano ou o prejuízo causado aos titulares de dados em virtude do descumprimento à LGPD.

As infrações à LGPD serão classificadas considerando a gravidade e o tipo de infração à lei e os direitos afetados:

Infração Média: quando puder afetar significativamente interesses e direitos fundamentais dos titulares de dados pessoais, em outras palavras, quando houver impedimento ou limitação, de forma significativa, no exercício de direitos ou a utilização de serviço, assim como ocasionar danos materiais ou morais aos titulares, tais como discriminação; violação à integridade física; ao direito à imagem e à reputação; fraudes financeiras ou uso indevido de identidade, desde que não seja classificada como grave)

Infração Grave: quando houver obstrução à fiscalização ou quando houver a hipótese descrita como média cumulada com pelo menos, uma das seguintes hipóteses:

• Envolver tratamento de dados pessoais em larga escala;
• O infrator auferir ou pretender auferir vantagem econômica em decorrência da infração cometida;
• Implicar risco à vida dos titulares;
• Envolver tratamento de dados sensíveis ou de dados pessoais de crianças, de adolescentes ou de idosos;
• Realizar tratamento de dados pessoais sem amparo em uma das hipóteses legais previstas na LGPD;
• Realizar tratamento com efeitos discriminatórios ilícitos ou abusivos; ou
• For verificada a adoção sistemática de práticas irregulares pelo infrator.

Infração Leve: quando a infração não puder ser enquadrada em nenhuma das hipóteses média ou grave.

No caso de aplicação de multa, para a definição do valor, além dessa classificação da gravidade, a ANPD levará em conta elementos como o faturamento do infrator no último exercício disponível anterior à aplicação da sanção. Caso não esteja disponível a informação referente ao ramo de atividade em que ocorreu a infração, a autoridade considerará o faturamento total do grupo ou conglomerado de empresas no Brasil.

A condição econômica do infrator pode agravar a pena ou ser um fator atenuante. Além disso, outros possíveis parâmetros, conforme a nova norma da ANPD, seriam a não reincidência, a boa-fé do infrator e a vantagem auferida ou pretendida com a infração.

A norma traz de forma pormenorizada a aplicação da fórmula de cálculo em que o agente deverá seguir algumas etapas:

1. Determinar a alíquota base: entre leve, média e grave;
2. Determinar o grau do dano: em uma escala de 0 a 3;
3. Determinar valor base: multiplicando a alíquota base pelo faturamento bruto (- tributos);
4. Determinar o valor da multa: aplicando as circunstâncias agravantes e atenuantes;
5. Determinar os limites mínimos e máximo da multa.

O objetivo de tamanha minucia é garantir a proporcionalidade entre a sanção e a gravidade da conduta, conferir segurança jurídica aos atos fiscalizatórios, bem como garantir o direito ao devido processo legal e ao contraditório.

O novo regulamento já está em vigor e a ANPD deve começar a julgar os primeiros processos, a expectativa é que as primeiras decisões sejam emitidas em breve. A  partir de agora, ganha ainda mais importância o monitoramento das decisões da ANPD tendo em vista a criação da jurisprudência administrativa que irá delinear os conceitos estabelecidos nas normativas da ANPD.

Este Boletim foi preparado com propósito meramente informativo; não pode ser tratado como aconselhamento legal e as informações nele contidas não devem ser seguidas sem orientação profissional.

Em janeiro de 2021, a Autoridade Nacional de Proteção de Dados (ANPD) publicou, pela Portaria nº 11/2021, a agenda regulatória referente ao biênio 2021-2022.

O objetivo do documento é definir as ações regulatórias prioritárias a serem implementadas durante o período de 2 anos, tornando público um cronograma das frentes de atuação da autoridade reguladora, no exercício de suas funções normativa, fiscalizadora e sancionadora.

Assim, o calendário da ANPD é dividido em 3 fases, organizadas com base no critério de prioridade.

A Fase 1 determina as iniciativas cujo processo regulamentador acontecerá em até 1 ano, com a previsão de início da regulamentação fica ainda para o 1º semestre/2021. É a fase que contém mais medidas a serem implementadas; algumas delas já vigentes, enquanto outras seguem em consulta pública ou em avaliação de impacto regulatório pela ANPD:

• Regimento Interno: através da Portaria nº 01/2021, estabeleceram-se a estrutura organizacional e as normas procedimentais da ANPD, além da edição de competências de seu principal órgão, o Conselho Diretor, e das atribuições das unidades administrativas. Destacam-se (a) a edição de regulamentos e procedimentos em proteção de dados pessoais, a exemplo da emissão de relatórios de impacto pelos agentes de tratamento; (b) a definição de padrões e técnicas de anonimização; (c) a delimitação dos padrões de interoperabilidade para fins de portabilidade e o tempo de retenção dos registros de operações de tratamento; e (d) o estabelecimento de standards mínimos para a adoção de medidas de segurança, técnicas e administrativas, bem como regras de governança no tratamento de dados pessoais.
• Planejamento Estratégico 2021-2023: cronograma com as principais ações e objetivos a serem concretizados, deixando claro o viés educacional da ANPD, não meramente regulatório e sancionatório. Assim, visa a promover a capacitação dos agentes de tratamento e da sociedade acerca de privacidade e proteção de dados.
• Definição de regramento simplificado para adequação de empresas de pequeno e médio porte, startups e pessoas físicas que tratam dados pessoais com fins econômicos: apesar de a previsão do cronograma para a regulamentação do tema ter início até o 1º semestre de 2021, ainda não houve publicação pela ANPD. A expectativa que se determine a dispensa da obrigação de registro das operações de tratamento e da emissão do Relatório de Impacto à Proteção de Dados Pessoais para essas organizações – visto que o ônus decorrente da adequação à LGPD poderia sobrecarregar os custos de operação, a ponto de inviabilizar suas atividades.
• Regulamentação sobre sanções administrativas: a ANPD será responsável por estipular as regras de fiscalização e aplicação de sanções administrativas, além da metodologia de cálculo para o valor-base, circunstâncias e condições para aplicação de multa pecuniária e demais punições.
• Edição de diretrizes para comunicação de incidentes de segurança: conforme previsão no artigo 48 da LGPD, fica a cargo da ANPD definir as diretrizes para os procedimentos de comunicação de incidentes de segurança com potenciais riscos ou danos relevantes, o prazo de notificação aos titulares, bem como o formato de encaminhamento das informações. De fato, no final de fevereiro, a ANPD publicou manual de peticionamento eletrônico para a referida finalidade, além de disponibilizar formulário padrão a ser utilizado pelos agentes de tratamento.
• Editar normas e procedimentos para elaboração de Relatório de Impacto à Proteção de Dados Pessoais: trata-se do exercício da competência da ANPD em normatizar os requisitos e critérios a serem seguidos nos Relatórios de Impacto à Proteção de Dados Pessoais (RIPD), para os casos em que o tratamento representar alto risco à garantia de proteção de dados pessoais.

A Fase 2 (dois) consiste em iniciativas da agenda regulatória cujo início do processo regulatório acontecerá em até 1 ano e 6 meses, a saber:

• Estabelecer normas complementares sobre a definição e as atribuições do encarregado de dados: trata-se da edição de normas complementares sobre a atuação do Encarregado da Proteção de Dados (DPO) e as hipóteses de dispensa da necessidade de sua indicação, conforme o porte da organização e a natureza de sua atividade – bem como os tipos de dados tratados, o grau de apetite a risco e o volume de operações de tratamento.
• Transferência Internacional de Dados Pessoais: definição dos critérios de reciprocidade/equivalência legislativa no grau de proteção de dados pessoais, a fim de se permitir seu compartilhamento com outros países ou organizações internacionais.

Por fim, a Fase 3 corresponde às iniciativas cujo início do processo regulamentador acontecerá em até 2 anos (previsão de início da regulamentação: 1º semestre/2023).

• Direitos dos titulares de dados pessoais: A LGPD estabeleceu os direitos dos titulares, entretanto, há diversos pontos que precisam de regulamentação, como o direito de portabilidade de dados entre plataformas de controladores. Tal ponto é de extrema relevância, visto que o Brasil está em processo de implementação do sistema financeiro aberto – que surge com as propostas de Open Banking e Open Insurance, que transacionarão grandes volumes de dados.
• Hipóteses legais de tratamento de dados pessoais: Acerca das hipóteses legais de tratamento de dados pessoais, espera-se que a ANPD emita um documento oficial com orientações ao público e agentes sobre as bases legais de aplicação da LGPD. Em relação ao legítimo interesse do controlador ou de terceiros, espera-se que se delimitem as hipóteses através de um rol exaustivo.

Destaca-se, ainda, a intenção de elaboração semestral do chamado relatório de acompanhamento das iniciativas presentes na agenda. A depender do resultado do último relatório de acompanhamento do ano de 2021, a ANPD avaliará a necessidade de readequação das iniciativas e metas constantes da agenda.

Portanto, as fases previstas no cronograma da ANPD priorizam determinadas ações para garantir a proteção de dados, bem como o estímulo sustentável à inovação, à digitalização e ao desenvolvimento econômico, aliando-os às garantias fundamentais dos titulares.