Nº 11 – 20 de março de 2023

Comunicado Técnico

Conselho de Relações do Trabalho

Publicada Resolução que regulamenta a aplicação de punições nos casos de descumprimento à Lei Geral de Proteção de Dados (LGPD)

Foi publicada em 27-02-2023, no Diário Oficial da União, pela Autoridade Nacional de Proteção de Dados, a Resolução CD/ANPD nº 4, de 24 de fevereiro de 2023, que aprova o Regulamento de Dosimetria e Aplicação de Sanções Administrativas, estabelecendo os métodos de aplicação de sanções em virtude do descumprimento à Lei Geral de Proteção de Dados (LGPD).

A nova norma visa a regulamentar a aplicação dos artigos 52 e 53 da Lei Geral de Proteção de Dados (13.709/2018), definir os critérios e parâmetros para as sanções pecuniárias e não pecuniárias, bem como as formas e dosimetrias para o cálculo das multas.

Ademais, altera os artigos 32, 55 e 62 da Resolução nº 1 CD/ANPD, que aprovou o Regulamento do Processo de Fiscalização e do Processo Administrativo Sancionador, para aprimorar o processo administrativo sancionador e de fiscalização.

Abaixo elencamos os principais pontos da Resolução.

REGULAMENTO DA DOSIMETRIA E APLICAÇÃO DE SANÇÕES ADMINISTRATIVAS

O Capítulo II da Resolução 4/23 da ANPD, refere-se à “aplicação das sanções”.

Antes de tudo, esta publicação assegura que, agora, estão regulamentadas as sanções e serão postas em prática.

O regulamento, nos termos redigidos pela ANPD, apresenta-nos as infrações e os tipos de penalidades a serem aplicadas aos que não cumprirem a lei ou mesmo àqueles que venham violar a LGPD.

Vimos que a LGPD, passados quatro anos, está hígida, sendo necessária como garantia de direitos de todos nós titulares, como também motivo de valor aos agentes de tratamento de dados que a cumprem.

Assim, nos termos do artigo 3°, seus incisos e parágrafos, o regulamento nos apresenta as sanções administrativas que estarão sujeitos os infratores.

Alertamos que as sanções apontadas na lei e agora regulamentadas são de caráter administrativo, ou seja, não há óbice de que as infrações cometidas pelo agente de tratamento de dados pessoais sejam objeto de discussão judicial agregada com a análise de outras legislações, bem como objeto de outras discussões administrativas, em outros órgãos protetivos, usando como base o Código de Defesa do Consumidor, por exemplo.

Na esfera administrativa, frente a ANPD, deverá ser oportunizado o direito de ampla defesa, contraditório ao devido processo legal.

As sanções serão aplicadas de forma gradativa, isolada ou cumulativamente, de acordo com as peculiaridades do caso concreto. Ainda, em caso de pluralidade de infratores, as sanções serão aplicadas de forma individualizada.

O não cumprimento da sanção aplicada ou a ausência de regularização da conduta, no prazo estipulado, ensejará a progressão da atuação da ANPD para a aplicação de sanções mais graves, sem prejuízo da adoção das demais medidas legais cabíveis.

As sanções estão assim descritas:

  1. ADVERTÊNCIAS, primeira sanção enumerada, para fortalecer lições educativas e de mudança cultural no tratamento de dados pessoais, ou seja, como medida corretiva, mas alertando que já se trata de uma penalidade. A advertência será aplicada apenas para infrações leves e medias e que não sejam de reincidência específica;
  • MULTA SIMPLES, de até 2% do faturamento da empresa, limitada, no total, a R$ 50.000.000,00 por infração. A aplicação verificará incidência de infração leve ou média e inexistência de reincidência específica; assim como a advertência será aplicada para os fins de medidas corretivas;
  • MULTA DIARIA, com limite total de R$ 50.000.000.  A multa diária levará em consideração medidas impostas pela ANPD, com prazo definido, mas não cumpridas pelo infrator; poderá ainda ser aplicada multa diária quando houver obstrução imotivada para a fiscalização da ANPD; por fim, até a decisão definitiva do processo administrativo, permanecer a prática de infrações recorrentes;
  • PUBLICIZAÇÃO DA INFRAÇÃO, APÓS DEVIDAMENTE APURADA E CONFIRMADA A SUA OCORRÊNCIA.  A publicização da infração deverá ser realizada pelo próprio infrator. Esta penalidade está vinculada diretamente a imagem da organização e reflete o espírito de conscientização. Exemplo: obrigação do infrator em publicar nas redes sociais, sites, a infração cometida;
  • BLOQUEIO DOS DADOS PESSOAIS A QUE SE REFERE A INFRAÇÃO, ATÉ A SUA REGULARIZAÇÃO: O infrator terá como pena a suspensão temporária de qualquer operação de tratamento dos dados, como por exemplo, compartilhamento, até a regularização da conduta. Exemplo: impossibilidade da utilização do número de telefone do titular, do nome, do CPF, etc.;
  • ELIMINAÇÃO DOS DADOS PESSOAIS A QUE SE REFERE A INFRAÇÃO: O infrator será penalizado com a exclusão dos dados pessoais. Exemplo; excluir os dados pessoais; pena de perdimento. Exemplo: O infrator será obrigado a eliminar os dados pessoais, ou seja, descartar nome, telefone, RG, CPF, etc. do titular;
  • SUSPENSÃO PARCIAL DO FUNCIONAMENTO DO BANCO DE DADOS A QUE SE REFERE A INFRAÇÃO: A penalidade poderá ser aplicada pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização do tratamento pelo agente; Exemplo: impossibilidade de utilização do banco de dados;
  • SUSPENSÃO DO EXERCÍCIO DA ATIVIDADE DE TRATAMENTO DOS DADOS PESSOAIS A QUE SE REFERE A INFRAÇÃO: Será aplicada pelo período máximo de 6 (seis) meses, prorrogável por igual período. Exemplo: O infrator não poderá realizar nenhum tratamento de dados pessoais;
  1. PROIBIÇÃO PARCIAL OU TOTAL DO EXERCÍCIO DE ATIVIDADES RELACIONADAS A TRATAMENTO DE DADOS: Consiste no impedimento parcial ou total das operações de tratamento de dados pessoais. Neste caso deverá haver a demonstração de que o tratamento de dados pessoais foi realizado para fins ilícitos, ou sem amparo em hipótese legal; ou ainda no caso do infrator perder ou não atender as condições técnicas e operacionais para manter o adequado tratamento de dados pessoais.

As sanções de suspensão do funcionamento do banco de dados, do tratamento dos dados pessoais, do exercício de atividades relacionadas ao tratamento de dados, são penalidades mais severas e serão aplicadas somente após aplicação de outras sanções. Observamos, contudo, que a advertência, deve ser aplicada antecipadamente as demais.

Em especial aos órgãos públicos observamos que as sanções mais severas, como: suspensão do banco de dados, suspensão do exercício de tratamento de dados ou proibição de atividades, somente serão aplicadas após a ciência e manifestação dos órgãos reguladores da atividade econômica específica.

Quanto às penalidades de multa aos órgãos públicos não são aplicadas, uma vez que equivaleria sancionar a própria vítima, ou seja, o próprio titular de dados pessoais.

PARÂMETROS E CLASSIFICAÇÃO DAS SANÇÕES ADMINISTRATIVAS

Segundo o art. 8º do Regulamento, a classificação das sanções se dá conforme a gravidade, dividindo-se em (i) leves, (ii) médias e (iii) graves.

Esta classificação se faz importante, na medida em que as penalidades previstas na LGPD serão aplicadas conforme a gravidade da infração.

No caso da multa, por exemplo, para infrações leves, a alíquota varia de 0,08% a 0,15% do faturamento. O intervalo para infrações médias será de 0,13% a 0,5% e, para infrações graves, de 0,45% a 2% do faturamento.

As infrações (i) leves serão assim configuradas por exclusão. Ou seja, quando não for verificada nenhuma das hipóteses para classificação da infração como média ou grave.

Infrações (ii) médias são aquelas que a atividade de tratamento tenha impedido ou limitado o exercício de direitos do titular de dados ou a utilização de um serviço; ou tenham ocasionado danos materiais ou morais aos titulares (ex.: discriminação, violação à integridade física, ao direito à imagem e à reputação, fraudes financeiras ou uso indevido de identidade). Ou seja, será assim classificada quando o tratamento de dados puder afetar “significativamente” interesses e direitos fundamentais; quando o tratamento puder impedir ou limitar, de “maneira significativa” o exercício de algum direito ou a utilização de um serviço; quando ocasionar danos morais ou materiais; violação à integridade física; direito à imagem e à reputação, fraudes financeiras ou uso indevido de identidade.

Já as (iii) graves, serão aquelas que cumularem as condições de infração média com ao menos um dos fatos abaixo:

– envolver tratamento de dados em larga escala;

– o infrator auferir ou pretender auferir vantagem econômica;

– a infração implicar risco à via dos titulares;

– a infração envolver dados sensíveis ou dados de crianças, adolescentes ou idosos;

– se o tratamento for realizado sem amparo de base legal;

– se o tratamento for realizado com efeitos discriminatórios ilícitos ou abusivos;

– quando for verificada a adoção sistemática de práticas irregulares ou quando houve obstrução da atividade fiscalizatória da ANPD.

As sanções serão aplicadas após procedimento administrativo, com decisão fundamentada, assegurado o direto à ampla defesa e ao contraditório.

A regulamentação fixou prazo para pagamento da multa, de 40 dias para empresas de pequeno porte e de 20 para a demais, contados da ciência do infrator.

Por fim, o infrator que renunciar ao direito de recorrer em primeira instancia, receberá o desconto de 25% no valor total da penalidade.

ATENUANTES E AGRAVANTES:

O Regulamento de Dosimetria traz também as circunstâncias agravantes e atenuantes da pena a ser aplicada. É necessário esclarecer que as agravantes e atenuantes são circunstâncias legais, de natureza objetiva ou subjetiva, que não integram a estrutura do tipo penal, mas que a ele se ligam com a finalidade de aumentar ou diminuir a pena. Existindo agravantes e atenuantes, estes são de aplicação compulsória pelo agente, que não pode deixar de considerá-los, quando presentes, na dosimetria da pena.

Utilizando-se dessas premissas, o Regulamento nos trouxe em seus arts. 12 a 15 as circunstâncias que serão consideradas agravantes e atenuantes sobre o cálculo do valor-base da multa, sendo as agravantes (art.12):

  1. para cada caso de reincidência específica (quando há cometimento de duas ou mais infrações do mesmo tipo, exemplo: duas infrações médias);
  2. para cada caso de reincidência genérica (quando há cometimento de duas ou mais infrações de tipos diferentes, exemplo: duas infrações médias e uma grave);
  3. para cada medida de orientação ou preventiva descumprida no processo de fiscalização, ou do procedimento preparatório que precedeu o processo administrativo sancionador; e
  4. para cada medida corretiva descumprida.

Já as atenuantes são (art.13):

  1. cessação da infração, variando a porcentagem de redução de acordo com o momento em que verificada a cessação;
  2. nos casos de implementação de política de boas práticas e de governança ou de adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar os danos aos titulares, voltados ao tratamento seguro e adequado de dados, até a prolação da decisão de primeira instância no âmbito do processo administrativo sancionador;
  3. nos casos em que o infrator tenha comprovado a implementação de medidas capazes de reverter ou mitigar os efeitos da infração sobre os titulares de dados pessoais afetados, variando a porcentagem de redução de acordo com o momento em que forem implementadas as medidas;
  4. nos casos em que se verifique a cooperação ou boa-fé por parte do infrator.

Contudo, há que se observar que o regulamento estabelece os valores mínimos para aplicação das multas, e condiciona no art. 15, inciso I, a pena base como a mínima a ser aplicada, seguindo a linha da Súmula 231 do STJ (já pacificada).

Importante se ter em conta que a prática de medidas preventivas, em especial as contidas nos art. 46, art. 49 e art. 50 da LGPD, são atenuantes citadas nos incisos II, III e IV do art. 13, do Regulamento. A exemplo, a comprovação de implementação de programa de governança em privacidade de dados (inciso I, do art. 50 da LGPD), reduzem em até 20% da pena a ser aplicada (inciso II, do art. 13, do Regulamento).

IMPACTO REPUTACONAL DE SANÇÕES

Além dos impactos financeiros, as empresas precisam estar atentas aos impactos reputacionais da aplicação das sanções, em especial quando as penas forem cumuladas com bloqueio, eliminação e suspensão de uso do banco de dados – e a publicização destas aplicações.

Com efeito, consoante acima esclarecido, conjuntamente com a aplicação das multas pecuniárias, a ocorrência de infração pode gerar a aplicação de sanções de suspensão do funcionamento do banco de dados, de suspensão do tratamento dos dados pessoais, de suspensão do exercício de atividades relacionadas ao tratamento de dados, e até de proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados

Essas aplicações podem ensejar, em muitos casos, inclusive a própria suspensão da atividade social da empresa, se estes bancos de dados forem necessários a regular operação da indústria.

E, mesmo que assim não o seja, a publicidade sobre estas penas aplicadas podem ensejar grave dano reputacional às empresas, na medida em que – essa informação tornada pública pode ensejar abalo de credibilidade significativo no mercado.

Postos estes esclarecimentos, recomenda-se fortemente que as empresas adotem medidas para efetiva implantação da governança em privacidade de dados, assegurando o cumprimento da Lei Geral de Proteção de Dados, de forma a afastar a incidência das penas agra regulamentadas pela ANPD.

O Contrab segue atentos a esta temática, com foco no interesse da Indústria Gaúcha e da sociedade.

Gerência Técnica e de Suporte aos Conselhos Temáticos – GETEC
Conselho de Relações do Trabalho – CONTRAB
Coordenador: Guilherme Scozziero Neto
Contatos: (51) 3347–8632 e contrab@fiergs.org.br

GERAR PDF

Conteúdo relacionado

Nenhum inteligência encontrada para esta área selecionada.