Apontamentos sobre as sanções administrativas aplicadas pela ANPD e medidas para evitá-las ou mitigá-las
Felipe Melazzo e Fernanda Galvão
Com a promulgação da Lei nº 13.709/2018, ou Lei Geral de Proteção de Dados Pessoais (“LGPD”), foi instituído pela primeira vez no Brasil um sistema geral e específico de proteção de dados pessoais, isto é, um conjunto normativo único aplicável a qualquer operação de tratamento (1) (desenvolvidas em meios digitais ou não) realizada no território brasileiro (ou com foco em brasileiros) por qualquer pessoa física ou jurídica de direito público ou privado (2).
Para auxiliar na implementação desse sistema, por meio da LGPD, foi instituída a Autoridade Nacional de Proteção de Dados (“ANPD”), órgão federal dotado de autonomia técnica e decisória, cuja finalidade é garantir a aplicação da LGPD e zelar pela proteção dos dados pessoais no território brasileiro, por meio de fiscalização e aplicação de sanções, elaboração de diretrizes e guias orientativos, entre outras medidas (3).
No dia 24 de fevereiro, a ANPD, por meio do seu Conselho Diretor, publicou a Resolução CD/ANPD nº 4 (“Resolução”) que teve como objetivo estabelecer parâmetros e critérios para aplicação pela ANPD de sanções administrativas em caso de infrações cometidas pelos agentes de tratamento (4).
Essas sanções, anteriormente previstas na LGPD, poderão agora ser efetivamente aplicadas desde a publicação da Resolução, de modo a penalizar o descumprimento de qualquer obrigação estabelecida na LGPD e/ou nos regulamentos expedidos pela ANPD (“Infração(es)”) e conhecer essas sanções e algumas medidas para evitá-las ou mitigá-las se mostra cada vez mais importante diante da publicação da Resolução pela ANPD.
1) Sanções administrativas aplicadas pela ANPD
As sanções reguladas pela Resolução e aplicáveis no caso de descumprimento da LGPD e regulamentos da ANPD (“Sanção(es)”) são (5):
• Advertência – aplicada quando a Infração:
a) For leve (quando não se enquadrar nos critérios de média ou grave) ou média (quando puder afetar significativamente interesses e direitos fundamentais dos titulares de dados pessoais, desde que não seja classificada como grave) e, não caracterizar reincidência específica (repetição de Infração pelo mesmo infrator ao mesmo dispositivo legal ou regulamentar, no período de cinco anos, contado do trânsito em julgado do processo administrativo sancionador anterior, até a data do cometimento da nova Infração); ou,
b) Necessitar de medidas corretivas (determinadas pela ANPD para corrigir a Infração e reconduzir o infrator à conformidade à LGPD e aos regulamentos expedidos pela ANPD).
• Multa simples – aplicada quando:
a) A Infração for grave (quando se tratar de obstrução à atividade de fiscalização ou quando a Infração afetar significativamente interesses e direitos fundamentais dos titulares de dados pessoais, e apresentar uma das seguintes hipóteses: (i) tratamento de dados pessoais em larga escala; (ii) vantagem econômica auferida pelo infrator em decorrência da Infração; (iii) implicar risco à vida dos titulares; (iv) envolver tratamento de dados sensíveis ou de crianças, adolescentes ou idosos; (v) tratamento de dados pessoais sem amparo em uma das hipóteses legais previstas na LGPD; (vi) tratamento com efeitos discriminatórios ilícitos ou abusivos; ou (vii) verificada a adoção sistemática de práticas irregulares pelo infrator); ou,
b) O Infrator não tenha atendido as medidas corretivas ou preventivas a ele impostas, dentro do prazo estabelecido; ou,
c) Não for adequado aplicar outra Sanção diante da natureza da Infração e do contexto em que ela se insere.
Ressalta-se que para a definição do valor da multa simples será utilizada pela ANPD metodologia própria prevista na Resolução, que levará em consideração a classificação da Infração, o faturamento do infrator no último exercício financeiro disponível anterior à aplicação da Sanção e o grau do dano.
• Multa diária – aplicada quando a ANPD necessitar do cumprimento, em prazo definido, de Sanção não aplicada anteriormente ou de determinação estabelecida pela ANPD. A multa diária levará em consideração: (i) o limite de 2% (dois por cento) do faturamento do agente de tratamento no seu último exercício, excluídos os tributos, limitado, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por Infração; (ii) a classificação da Infração (se leve, média ou grave); e (iii) o grau do dano.
• Publicização da Infração – aplicada quando a Infração for considerada relevante e de interesse público.
• Bloqueio dos dados pessoais – aplicada quando houver a necessidade de suspensão temporária de qualquer operação de tratamento com os dados pessoais a que se refere a Infração, mediante a sua guarda até a regularização da conduta pelo infrator.
• Eliminação dos dados pessoais – aplicada quando houver a necessidade de exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado.
• Suspensão parcial do banco de dados – aplicada quando houver a necessidade de suspender parcialmente o funcionamento de banco de dados em desacordo com a legislação de proteção de dados pessoais.
• Suspensão do tratamento de dados – aplicada quando houver a necessidade de suspender exercício de atividade de tratamento dos dados pessoais a que se refere a Infração. Tal Sanção será aplicada pelo período máximo de seis meses, prorrogável por igual período.
• Proibição parcial ou total do exercício de atividades – aplicada quando houver a necessidade de impedir parcial ou totalmente a realização das operações de tratamento a que se refere a Infração e quando:
a) Houver reincidência de Infração já punida com Suspenção parcial do banco de dados ou Suspensão do tratamento de dados; ou,
b) Ocorrer tratamento de dados com fins ilícitos, sem amparo em hipótese legal; ou,
c) O Infrator não atender as condições técnicas e operacionais para o tratamento adequado dos dados.
Ainda sobre as Sanções, é importante ressaltar que (6):
> Elas poderão ser aplicadas de forma gradativa, isolada ou cumulativamente, de acordo com as peculiaridades do caso concreto;
> As Sanções de Suspensão parcial do banco de dados, Suspenção do tratamento de dados e Proibição parcial ou total do exercício de atividades só poderão ser aplicadas se já tiver sido imposta pelo menos uma das medidas mencionadas anteriormente;
> Elas serão aplicadas mediante procedimento administrativo com decisão fundamentada da ANPD, assegurado sempre o direito à ampla defesa, ao contraditório e ao devido processo legal. Isto é, as Sanções não poderão ser aplicadas de forma autoritária pela ANPD;
> A aplicação das Sanções não exclui a possibilidade da adoção de outras medidas administrativas pela ANPD e previstas na LGPD, bem como não impede a aplicação de medidas legais e sanções judiciais aplicadas sobre o infrator de forma a garantir o cumprimento à legislação de proteção de dados pessoais (como ações civis públicas ou indenizações por danos morais e materiais causados aos titulares dos dados).
2) Algumas medidas para evitar e/ou mitigar as Sanções
Segundo a Resolução e a própria LGPD, as Sanções serão sempre aplicadas, como já dito antes, de acordo com as peculiaridades do caso concreto.
Diante de uma Infração, além de critérios objetivos (7), algumas condutas dos agentes de tratamento poderão ser levadas em consideração de forma a agravar ou diminuir a Sanção, se eventualmente aplicável. Dentre elas estão:
> A boa-fé do infrator;
> A vantagem auferida ou pretendida pelo infrator;
> A reincidência;
> A cooperação do infrator;
> A adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados;
> A pronta adoção de medidas corretivas;
> A adoção de política de boas práticas e governança.
Dessa forma, essas condutas significam medidas que evitam Infrações ou mitigam de forma direta a aplicação das Sanções pela ANPD. Portanto, observá-las, pode contribuir muito para o Infrator em eventual situação fiscalizatória pela ANPD.
Especificamente sobre a adoção de política de boa prática e governança, se bem estruturada em programa de adequação elaborado conforme a LGPD, ela traz mecanismos específicos que podem demonstrar a aplicação das condutas mencionadas acima.
Isso porque, o programa de adequação é capaz de estabelecer diversos controles internos aptos a proteger os titulares de dados da ocorrência de possíveis incidentes de segurança, além de construir a confiança com clientes e parceiros.
Caso a sua empresa realize tratamento de dados pessoais nas atividades empresariais e tenha dúvidas sobre a aplicação da LGPD em seu negócio e/ou deseje construir o programa de adequação, o VLF Advogados possui equipe especializada em Privacidade e Proteção de Dados Pessoais. Se quiser saber mais sobre o assunto, basta entrar em contato conosco.
Felipe Melazzo
Advogado da Equipe de Consultoria e Compliance do VLF Advogados
Fernanda Galvão
Sócia-executiva e Coordenadora da Equipe de Consultoria e Compliance do VLF Advogados
(1) Nos termos da LGPD, o tratamento de dados pessoais é qualquer operação realizada com dados pessoais, isto é, informações de pessoas físicas (Ex.: coleta, produção, recepção, utilização, processamento, arquivamento, armazenamento, eliminação, transferência).
(2) BIONI, Bruno Ricardo. Proteção de dados pessoais: a função e os limites do consentimento. 2.ed. Rio de Janeiro: Forense, 2020, p. 127.
(3) Art. 55-A da Lei n. 13.709, de 10 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). Disponível em: https://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/l13709.htm. Acesso em: 17 abr. 2023.
(4) Nos termos da LGPD, agente de tratamento é qualquer pessoa natural ou jurídica, de direito público ou privado, a quem compete as decisões referentes ao tratamento de dados pessoais (Controlador) ou que realiza o tratamento em nome do Controlador (Operador).
(5) e (6) Resolução CD/ANPD nº 4, de 24 de fevereiro de 2023. Aprova o Regulamento de Dosimetria e Aplicação de Sanções Administrativas. Disponível em: https://www.in.gov.br/en/web/dou/-/resolucao-cd/anpd-n-4-de-24-de-fevereiro-de-2023-466146077. Acesso em: 17 abr. 2023.
(7) Os critérios objetivos, eleitos a partir do Art. 52 da LGPD e do Art. 7º da Resolução, são: (i) a gravidade e a natureza das infrações e dos direitos pessoais afetados; (ii) a condição econômica do infrator; (iii) o grau do dano; e (iv) a proporcionalidade entre a gravidade da falta e a intensidade da Sanção.
