Multas na LGPD e a sobreposição de sanções com outros órgãos de fiscalização

Os incidentes relacionados à segurança de informação com dados pessoais são bastante conhecidos e alcançam até as mais sofisticadas e modernas organizações. E, muito embora a Agência Nacional de Proteção de Dados (ANPD) ainda esteja se estruturando para exercer o seu papel, a questão das multas administrativas em razão destes incidentes já se mostrou presente¹, isso por meio de órgãos de defesa do consumidor que ocupam o vácuo regulatório neste breve período.

Desde o advento da Lei Geral de Proteção de Dados - LGPD (Lei 13.709/2018) houve muita discussão em relação às multas que a lei prevê para punir responsáveis pelo tratamento de dados pessoais que falham em suas obrigações legais, afinal a pena pecuniária prevista pode chegar a R$ 50.000.000,00 (cinquenta milhões de reais). Mas passados dois anos da Lei, agora a Agência Nacional de Proteção de Dados (ANPD) está finalizando as regras aplicáveis às sanções administrativas previstas na LGPD.

Com finalidade de ultimar as medidas normativas, para receber contribuições da sociedade, esteve em consulta pública pela ANPD até 15 de setembro de 2022 o Regulamento de Dosimetria e Aplicação de Sanções Administrativas que visa complementar o Regulamento do Processo de Fiscalização e do Processo Administrativo Sancionador (ambos regulamentam os arts. 52, 53 e 54 da Lei Geral de Proteção de Dados).

Portanto, em breve a Agência Nacional de Proteção de Dados passará a exercer ativamente o seu poder de fiscalização para punir infrações à LGPD (o que tende a reduzir o papel fiscalizatório exercido por órgãos de defesa do consumidor neste terreno).

O regulamento que regra a dosimetria das multas previstas na Lei Geral de Proteção de Dados busca estabelecer critérios para aplicação e gradação das multas no âmbito da Agência Nacional de Proteção de Dados que por lei pode aplicar as sanções dispostas no art. 52, que são:

• advertência, com indicação de prazo para adoção de medidas corretivas;
• multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
• multa diária, observado o limite total a que se refere o inciso II;
• publicização da infração após devidamente apurada e confirmada a sua ocorrência;
• bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
• eliminação dos dados pessoais a que se refere a infração;
• suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;  
• suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período;  
• proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.   

Diante deste rol é possível afirmar que o leque de opções em termos de ferramentas de sanção é abrangente, o teto da multa é alto, há a possibilidade de multa diária e, ainda, podem ser aplicadas punições de caráter reputacional (naming and shaming, pela publicização da infração como ferramenta de sanção) e outros que afetam a própria operação de tratamento de dados (suspensões do funcionamento do banco de dados ou do exercício da atividade de tratamento de dados pessoais).

Neste contexto, como a Lei das Agências Reguladoras² estabelece que alterações regulatórias precisam ser precedidas de estudo de análise de impacto regulatório³, a ANPD realizou minucioso estudo e nele optou por um modelo de regulação baseado em valoração, em contraste ao baseado em tipos (infração/punição, o conhecido método de comando e controle).

Isso quer dizer que a estratégia da Agência buscará amoldar suas respostas à gravidade do fato e aos demais atributos que contextualizam o incidente com a análise da conduta e avaliação da boa-fé do infrator, dentre outros atributos previstos no §1º do art. 52 da Lei. Então, tudo indica que no processo de construção da estrutura de polícia administrativa no âmbito de proteção de dados a ANPD objetiva construir um padrão regulatório atualizado, flexível e dinâmico.

O método de regulação declarado será o responsivo⁴, e seguindo esta linha metodológica, as intervenções com o regulado infrator serão baseadas em fatos e poderão escalar em rigor em razão da necessidade da medida, de modo a demonstrar que embaraçar a solução do incidente trará custos gradativamente mais pesados e que a cooperação é sempre a conduta racionalmente mais vantajosa.

Por certo, como deve ser, a finalidade será a de promover a cooperação e a transparência dos regulados, para tanto a Agência precisará informar, orientar e colaborar com o regulado por um lado e, se necessário, punir e escalar no rigor das sanções aplicadas por outro.

Finalmente, sobre a concorrência fiscalizatória e sobreposição de sanções entre a ANPD e órgãos de defesa do consumidor, tudo indica que na hipótese de haver processos administrativos sancionatórios simultâneos ou sucessivos, encerrados ou em curso, que tenham origem no mesmo incidente de segurança de informação, ainda que não se possa frustrar o exercício do poder de polícia administrativa por outro órgão que não seja a ANPD, tratando-se de penalidades administrativas, no processo que suceder o primeiro deverá ser considerada a sanção anterior, como critério e parâmetro de redução da multa posterior.

Isso converge perfeitamente com a previsão do §3º do art. 22 da Lei de Introdução às normas do Direito Brasileiro ("as sanções aplicadas ao agente serão levadas em conta na dosimetria das demais sanções de mesma natureza e relativas ao mesmo fato") e é o que prevalece nas normas regulatórias mais atuais, como no caso parágrafo único do art. 62 da Instrução Normativa CVM 607/19  ("o Colegiado considerará na dosimetria as demais sanções relativas aos mesmos fatos, aplicadas definitivamente por outras autoridades, cabendo ao acusado demonstrar, até o julgamento do processo pelo Colegiado, o cabimento dessa circunstância").

_________

1 Disponível em https://agenciabrasil.ebc.com.br/geral/noticia/2022-08/senacon-multa-facebook-em-r-66-milhoes. Consulta realizada em 20/09/2022.