Publicações

19/04/2023

ANPD publica Regulamento que estabelece parâmetros e critérios para aplicação de sanções administrativas

No último dia 27 de fevereiro de 2023, a Autoridade Nacional de Proteção de Dados (ANPD) publicou regulamento que permite a imposição de penalidades por descumprimento à Lei Geral de Proteção de Dados (LGPD), lei publicada desde agosto de 2018.

A partir de deliberação do Conselho Diretor da ANPD, foi aprovado o Regulamento de Dosimetria e Aplicação de Sanções Administrativas, que estabelece critérios e parâmetros para a aplicação de sanções por descumprimento à LGPD.

Regulamentação

O referido regulamento inclui não só normas específicas para a imposição das sanções administrativas – tais como a possibilidade de aplicação gradual, individual ou cumulativa -, como também estabelece que a penalidade só poderá ser imposta se observado o processo baseado em decisão fundamentada da ANPD, com vistas a assegurar o direito à ampla defesa, ao contraditório e ao devido processo legal.

Frise-se, nesse sentido, que a sanção administrativa configura como uma das ferramentas que a Autoridade detém para direcionar o responsável pelo tratamento de dados pessoais à conformidade com as exigências previstas na LGPD.

Graduação das sanções previstas

O regulamento busca garantir a proporcionalidade entre a sanção aplicada e a gravidade da conduta do agente. Nesse sentido, o objetivo é que as penalidades estabeleçam melhor correspondência entre o meio empregado e o fim que se pretende alcançar.

Nestes termos, as infrações serão ordenadas de acordo com a gravidade e a natureza, bem como conforme os direitos pessoais afetados. Ademais, poderão ser classificadas como graves, médias ou leves.

Será considerada “média” a infração que afetar significativamente interesses e direitos fundamentais dos titulares de dados pessoais. De outro lado, será considerada “grave” a infração que envolva tratamento de dados pessoais sensíveis ou em larga escala, que implique risco à vida dos titulares, que caracterize tratamento com efeitos discriminatórios ilícitos ou abusivos, dentre outros. Por fim, será considerada “leve” a infração que não caracterizar nenhuma das hipóteses anteriores.

Em relação à reincidência, esta foi dividida em duas categorias: específica, que se dá quando o agente desrespeita a mesma norma no período de cinco anos, contado do trânsito em julgado à data da nova infração; e, genérica, que consiste no descumprimento, pelo mesmo infrator, de qualquer regra legal ou regulamentar, no período supracitado.

Conformidade com a LGPD

A LGPD, em seu artigo 52, já previa as sanções por violação às suas normas. No entanto, a ANPD introduziu critérios adicionais para avaliar essas penalidades:

No que concerne à sanção de advertência, esta será aplicada quando, in casu, forem observados os seguintes requisitos de forma cumulativa: infração leve ou média; não caracterizar reincidência específica; e, não houver necessidade de imposição de medidas coercitivas;
Já em relação à multa simples, caso a infração seja considerada grave, esta será aplicada quando não tiverem sido atendidas as medidas preventivas ou corretivas, bem como pela natureza da infração, pela atividade de tratamento ou pelos dados pessoais e demais circunstâncias do caso concreto.

Cálculo da multa

A respeito da metodologia de cálculo para identificação do valor-base para aplicação de sanção de multa, os critérios foram apresentados em apêndice específico do regulamento – Apêndice I -, que trata da classificação da informação, do faturamento do infrator e, também, do grau do dano.

Ainda em relação à sanção de multa, cumpre evidenciar que esta poderá ser atenuada em até 75% nos seguintes casos: cessação da infração; implementação de políticas de boas práticas e de governança; e, demonstração de mecanismos e procedimentos internos capazes de minimizar os danos aos titulares de dados pessoais afetados.

Para assegurar o cumprimento de uma sanção não pecuniária ou de uma determinação estabelecida pela ANPD, poderá ser aplicada multa diária, de forma acumulada. Tal imposição deve considerar o tempo entre a incidência da sanção de multa e o cumprimento da obrigação, bem como a classificação da infração e o grau do dano.

A multa diária poderá ser aplicada, ainda, após a ausência de ajustes nas irregularidades no prazo determinado, pela prática de infração permanente até a decisão e pela obstrução à atividade de fiscalização.

Demais sanções previstas

Outra sanção que pode vir a ser aplicada consiste na publicização da infração após devidamente apurada e confirmada a sua ocorrência. De toda sorte, o regulamento não traz muitas informações a respeito desse tipo de sanção, limitando-se a estabelecer que essa publicização não se confunde com a publicação de sanção administrativa no Diário Oficial da União ou com os demais atos de publicidade administrativa realizados pela ANPD.

Além do disposto acima, poderão ser aplicadas as seguintes sanções:

Bloqueio ou eliminação dos dados pessoais;
Suspensão parcial do funcionamento do banco de dados;
Suspensão do exercício da atividade de tratamento dos dados pessoais;
Proibição parcial, ou total, do exercício de atividades relacionadas a tratamento de dados.

Papel da ANPD

Ressalte-se, então, que as sanções delineadas são medidas utilizadas no sentido de complementar a abordagem repressiva-fiscalizatória realizada pela Autoridade, com o fito de que o infrator se adeque às disposições previstas na LGPD.

Isto porque, a ANPD adere, primariamente, a um modelo de fiscalização responsivo, ou seja, que adota medidas orientativas e preventivas para reconduzir os agentes de tratamento à conformidade com as normas de proteção de dados em momento anterior à aplicação das sanções.

Conclusão – aderência à LGPD

Acredita-se que a dosimetria, como método que orienta a escolha da sanção mais apropriada para cada caso concreto, aumentará a visibilidade conferida à ANPD, que poderá exercer efetivamente suas funções fiscalizadora e sancionadora.

Amanda Zaqui Milagre

Graduanda em direito pela Universidade Federal do Espírito Santo (UFES)

Clara Baptista Peixoto

Advogada graduada pela Universidade Federal do Espírito Santo (UFES).

Especialista em Direito Empresarial pela Fundação Getúlio Vargas (FGV)

Anterior
"Alteração na OJ 394 da SDI-1 do TST: Reflexos do RSR majorado pela prestação de horas extras habituais"

Próximo
"Contrato de Transporte de Cargas: o vale-pedágio relativo ao trecho de retorno da viagem é, ou não, verba obrigatória?"

publicações

EM ALTA

Lei da Igualdade Salarial: prazo de envio do primeiro relatório semestral está próximo

Tema 1.015 STF: é inconstitucional a vedação à posse em cargo público de candidato aprovado em concurso que esteve acometido de doença grave, mas que não apresenta sintomas atuais de restrição laboral

STF decide pela constitucionalidade da imposição de contribuição sindical por meio de acordo ou convenção coletiva

escolha por

CATEGORIA

Destaques

Direito Administrativo

Direito Civil

Direito Criminal

Direito Digital

Direito do Trabalho

Direito Empresarial

Direito Minerário

Direito Processual Civil

Direito Societário

Direito Tributário