Após longos e salutares debates – inclusive por intermédio de audiência pública e mais de 2.500 sugestões de diversos setores – a Autoridade Nacional de Proteção de Dados (ANPD) aprovou no final de fevereiro, por unanimidade de votos de seu conselho-diretor, a resolução CD/ANPD nº 4/2023, que regulamenta a dosimetria e aplicação das sanções administrativas previstas no artigo 52 da lei 13.709/2018, a Lei Geral de Proteção de Dados Pessoais (LGPD).
Em suma, a nova norma tem dois objetivos primordiais: (i) regulamentar os artigos 52 e 53 da LGPD, definindo os critérios e parâmetros para aplicação das sanções pecuniárias e não pecuniárias pela ANPD, bem como as formas e dosimetrias para o cálculo do valor-base das multas; e (ii) alterar os artigos 32, 55 e 62 da resolução CD/ANPD nº 1/2021, visando aprimorar o processo administrativo sancionador e fiscalizador da autoridade.
Com isso, a ANPD dá o passo derradeiro para o pleno exercício da sua atividade repressiva, possibilitando a efetiva responsabilização de agentes por infrações às regras e princípios da LGPD.
A partir das regras de dosimetria, a autoridade terá elementos concretos para determinar a sanção mais apropriada aplicável a cada caso específico, além de permitir o cálculo, quando cabível, do valor da multa incidente. Em outras palavras, a chamada "norma de dosimetria" define as circunstâncias, condições e metodologia de aplicação das sanções, garantindo a proporcionalidade entre a penalidade e a gravidade da conduta do agente, bem como maior transparência e segurança jurídica aos processos fiscalizatórios, facilitando o exercício do devido processo legal e do contraditório.
Por outro lado, a resolução confere aos agentes elementos valiosos para avaliação e eventual revisão dos riscos assumidos com o tratamento de dados pessoais, auxiliando na tomada de decisões do negócio.
O regulamento entrou em vigor em 28/2/2023, data da sua publicação, permitindo, desde então, a aplicação de todas as sanções previstas na LGPD:
(i) advertência;
(ii) multa simples, de até 2% do faturamento da empresa, limitada, no total, a R$ 50 milhões por infração;
(iii) multa diária, com limite total de R$ 50 mil;
(iv) publicização da infração;
(v) bloqueio dos dados pessoais;
(vi) eliminação dos dados pessoais;
(vii) suspensão parcial do funcionamento do banco de dados, por no máximo seis meses, prorrogável por igual período;
(viii) suspensão do exercício da atividade de tratamento dos dados pessoais por no máximo seis meses, prorrogável por igual período; e
(ix) proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
Na hipótese de haver pluralidade de agentes, estas sanções serão aplicadas individualmente, sendo certo, ainda, que as penalidades mais severas: a suspensão do funcionamento do banco de dados ou do exercício de atividades de tratamento e a proibição parcial ou total do exercício de atividades de tratamento, só serão aplicadas após alguma das outras sanções previstas na lei já ter sido imposta para o mesmo caso.
Nos termos do artigo 8º do regulamento, as infrações serão ordenadas conforme os direitos pessoais afetados, além da gravidade e natureza do ato. A infração será leve quando, por exclusão, não for média ou grave. São médias as infrações que impactarem significativamente interesses e direitos fundamentais dos titulares, bem como ocasionarem danos materiais ou morais, tais como discriminação, violação à integridade física, ao direito à imagem e à reputação, fraudes financeiras ou uso indevido de identidade. Outrossim, serão graves as infrações que constituírem obstrução à atividade de fiscalização ou quando, além de materializarem alguma das hipóteses de infração média, cumulativamente:
(i) envolverem o tratamento de dados em larga escala;
(ii) caracterizem a intenção do infrator de auferir vantagem econômica;
(iii) induzirem risco à vida dos titulares;
(iv) envolverem o tratamento de dados sensíveis ou de vulneráveis;
(v) implicarem o tratamento de dados sem base legal;
(vi) envolverem o tratamento de dados com fins discriminatórios; ou
(vii) caracterizarem a adoção sistemática de práticas irregulares.
Dentre os parâmetros a serem considerados para a definição da sanção, merecem destaque: a boa-fé do infrator e sua condição econômica, a vantagem auferida ou pretendida, a reincidência específica ou genérica, o grau do dano, a cooperação do infrator, a adoção de políticas de boas práticas e governança, a pronta adoção de medidas corretivas e a proporcionalidade entre a gravidade da falta e a intensidade da sanção.
O regulamento traz também, em seus artigos 12 a 15, disposições sobre circunstâncias agravantes e atenuantes para a dosimetria do valor de multas, ressalvando que sua incidência, em qualquer caso, será limitada a 2% do faturamento da pessoa jurídica, grupo ou conglomerado de empresas no Brasil no seu último exercício, excluídos os tributos, com o teto de R$ 50 milhões.
Dois pontos polêmicos do regulamento merecem destaque.
O primeiro diz respeito à regra do artigo 27 – baseada no artigo 52, § 1º, XI, da LGPD –, que autoriza a ANPD a afastar a metodologia de dosimetria ou substituir a aplicação de sanção por outra, se entender pela desproporcionalidade entre a gravidade da infração e a intensidade da sanção. Não obstante o parágrafo único do referido artigo 27 ressalve que a decisão da ANPD não poderá ser baseada em valores jurídicos abstratos e deverá ser motivada e fundamentada de maneira a demonstrar a adequação da medida, o interesse público e os novos parâmetros adotados, não há como ignorar que essa exceção e o poder discricionário conferido à ANPD trazem insegurança jurídica na aplicação das sanções, mitigando a certeza, a transparência e a previsibilidade que próprio regulamento busca conferir.
O segundo ponto polêmico refere-se à previsão do artigo 28, que autoriza a aplicação do regulamento a processos administrativos instaurados antes da publicação da resolução, contrariando o comando do art. 53, § 1º, da LGPD, o qual estabelece que as metodologias que orientarão o cálculo do valor-base das sanções pecuniárias deverão ser previamente publicadas, para ciência dos agentes de tratamento.
Por fim, deve-se frisar que a aplicação de sanções pela ANPD não exclui a reparação, pelo agente, dos danos materiais e/ou morais causados aos titulares ou à coletividade, tampouco a imposição de penalidades administrativas previstas em outras normas.
A aprovação do regulamento deve intensificar a atividade fiscalizatória e repressiva da ANPD, reforçando a necessidade de as empresas desenvolverem, manterem e constantemente atualizarem suas políticas de governança em privacidade e proteção de dados, com vistas a prevenir incidentes de segurança e violações à LGPD.