Dosimetria e aplicação de sanções administrativas por descumprimento da LGPD
I – LGPD: breve resumo
A LGPD (Lei Geral de Proteção de Dados Pessoais) tem por finalidade assegurar que o tratamento dos dados pessoais dos cidadãos seja realizado de modo lícito.Mas o que significa, para empreendedores, fazer uso lícito dos dados pessoais?
Significa identificar quais espécies de dados pessoais trafegam dentro da organização, bem como realizar “triagem” para verificar quais são, efetivamente, as informações necessárias e indispensáveis para a consecução do objeto social, devendo ser descartados dados tratados sem finalidade e sem necessidade.
Todos os dados pessoais utilizados dentro de uma empresa devem estar vinculados a uma base legal prevista na LGPD (arts. 7 e 11).
Assim, por exemplo, os dados pessoais de funcionários são necessários para cumprimento do contrato de trabalho (base legal do art. 7, V, LGPD); mas também são necessários para cumprimento de obrigações legais e regulatórias (base legal do art. 7,II, LGPD).
Na verdade, no momento em que empresários se organizarem e souberem quais dados tratam e qual a base legal que respalda o tratamento (uso dos dados pessoais), adotando medidas de segurança, técnicas e administrativas, estarão dando um passo em direção à adequação à LGPD, que é realizada através do cumprimento de etapas distintas que não serão aqui comentadas em razão dos limites do presente ensaio.
II – O papel da ANPD (Autoridade Nacional de Proteção de Dados Pessoais)
A ANPD – Autoridade Nacional de Proteção de Dados Pessoais, é a autarquia encarregada de fiscalizar o cumprimento da LGPD. Se a LGPD for desobedecida pelos empresários (se houver uso indevido\ilícito dos dados pessoais, sem necessidade e finalidade) ou incidente de segurança envolvendo as informações arquivadas, catalogadas, enfim, tratadas, pelas organizações, a ANPD poderá aplicar sanções administrativas.
Conforme dispõe o art. 52 da LGDP, empresas que descumprirem a LGPD podem sofrer as seguintes sanções, cabendo à ANPD aplicá-las:
- advertência, com indicação de prazo para adoção de medidas corretivas;
- multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
- multa diária, observado o limite total a que se refere o inciso II;
- publicização da infração após devidamente apurada e confirmada a sua ocorrência;
- bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
- eliminação dos dados pessoais a que se refere a infração;
- suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;
- suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período;
- proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.”
Ocorre que, em razão da ausência de definição, no texto da Lei Geral de Proteção de Dados, da metodologia e dos critérios para a aplicação das sanções acima relacionadas, empresários aguardam a regulamentação da matéria pela ANPD, cuja competência está prevista no art. 55-J, inciso XIII, da LGPD.
III – Regulamentação, pela ANPD, da metodologia para aplicação das sanções administrativas
O art. 53 da LGPD prevê que a ANPD “definirá, por meio de regulamento próprio sobre sanções administrativas a infrações a esta Lei, que deverá ser objeto de consulta pública, as metodologias que orientarão o cálculo do valor-base das sanções de multa.”
O § 1º do art. 53 dispõe que as metodologias adotadas pela ANPD devem ser previamente publicadas para que empresários tenham ciência quanto às formas e “dosimetrias para o cálculo do valor-base das sanções de multa, que deverão conter fundamentação detalhada de todos os seus elementos, demonstrando a observância dos critérios previstos nesta Lei”.
Também dispõe a LGPD que o regulamento sobre as sanções e metodologias correspondentes deve estabelecer as circunstâncias e as condições para a adoção de multa simples ou diária, pois tais critérios não estão previstos (art. 53, §2º).
Com fundamento no referido dispositivo legal, a Agenda Regulatória da ANPD, aprovada para o biênio 2021-2022 por meio da Portaria nº 11\2021, previa, dentre as ações a serem priorizadas dentro do aludido período, o estabelecimento de regras para aplicação do art. 52 e seguintes da LGPD.
Ou seja, tendo em vista que, na LGPD, não está definida a metodologia para a aplicação das sanções administrativas previstas no art. 52 da LGPD, e diante da prerrogativa da ANPD de editar regulamento para conferir transparência e segurança jurídica quanto à fixação de penalidades, foi redigida uma Minuta de Regulamento sobre a Dosimetria e Aplicação de Sanções Administrativas, disponível em https://www.gov.br/anpd/pt-br/assuntos/noticias-periodo-eleitoral/Regulamento_Dosimetria_vf.pdf. Foi, igualmente, aberta Consulta Pública para que a sociedade pudesse opinar sobre o assunto.
A Minuta de Resolução tem por objetivo estabelecer parâmetros e critérios para aplicação de sanções administrativas pela ANPD, bem como as formas e dosimetrias para o cálculo do valor-base das sanções de multa.
São especificadas todas as sanções previstas no art. 52 da LGPD e, em seguida, os parâmetros e critérios para a definição de sanções.
Na definição da sanção, segundo dispõe o art. 7º da Minuta, devem ser considerados os seguintes parâmetros e critérios: I - a gravidade e a natureza das infrações e dos direitos pessoais afetados; II - a boa-fé do infrator; III - a vantagem auferida ou pretendida pelo infrator; IV - a condição econômica do infrator; V - a reincidência específica; VI - a reincidência genérica; VII - o grau do dano; VIII - a cooperação do infrator; IX - a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados, em consonância com a LGPD; X - a adoção de política de boas práticas e governança; XI - a pronta adoção de medidas corretivas; e XII - a proporcionalidade entre a gravidade da falta e a intensidade da sanção.
As infrações também estão classificadas, segundo a gravidade e a natureza das infrações e dos direitos pessoais afetados, em leve, média ou grave, com especificações sobre cada nível.
IV – Considerações finais
Foram recebidas 2.504 contribuições à Minuta de Resolução, e os próximos passos, conforme informações disponíveis no site da ANPD, incluem a análise de admissibilidade das contribuições pela Coordenação-Geral de Normatização e avaliação das sugestões pela equipe de projeto da Autoridade, tudo para aprimorar o modelo de aplicação de sanções administrativas.
Importante observar que a Minuta de Resolução é complementar ao que já foi estabelecido pela ANPD, através da Resolução CD/ANPD nº 1\2021, que regulamenta o funcionamento do Processo de Fiscalização e do Processo Administrativo Sancionador.
Espera-se que, em breve, ainda no primeiro trimestre de 2023, seja aprovado e publicado o texto definitivo da Resolução, a fim de tornar transparente a atuação da ANPD quanto à dosimetria e à aplicação de sanções por descumprimento da LGPD pelas empresas, oportunizando que se defendam, se for o caso, mesmo porque têm assegurada a ampla defesa em processo administrativo que deverá ser instaurado antes da aplicação de qualquer penalidade.
Izabela Lehn - Advogada
Integrante do Comitê Jurídico da ACI-NH/CB/EV/DI
Izabela Lehn Advocacia
