Publicada resolução que permite que, de agora em diante, a ANPD possa fixar as sanções previstas na LGPD
Em 27/02/2023 foi publicada no Diário Oficial da União a Resolução da ANPD nº 4, de 24/02/2023, que regulamenta a dosimetria e a aplicação das sanções administrativas nos procedimentos relativos ao descumprimento de obrigação estabelecida na LGPD (Lei 13.709/2018) e aos regulamentos expedidos pela Agência Nacional de Proteção de Dados (ANPD).
A resolução permite que, de agora em diante, a ANPD possa fixar as sanções previstas na LGPD, bem como em seus próprios regulamentos.
As infrações foram subdivididas em três grupos: I – leve, II – média; ou III – grave, sendo considerada grave, dentre outras condutas, a realização de tratamento de dados pessoais sem amparo em uma das hipóteses legais previstas na LGPD.
Nesse contexto, para o tratamento de dados ao qual é necessário expresso consentimento do titular dos dados, a sua não observância será considerada infração grave, o que nos parece estar em harmonia com a finalidade última da LGPD que é a de proteger a privacidade das pessoas físicas, ameaçada pelo uso descomedido de seus dados pessoais.
A resolução igualmente prevê a aplicação de multa simples a incidir sobre o faturamento da empresa, fixando as alíquotas mínimas e máximas para cada infração, de acordo com sua gravidade, sendo para as infrações leves a mínima de 0,8% e a máxima de 0,15% do faturamento da empresa infratora, para as infrações médias, mínima de 0,13% e máxima de 0,50% sobre o faturamento da empresa infratora e paras as graves, mínima de 0,45% e máxima de 1,50% sobre o faturamento da empresa infratora, até o limite de R$ 50.000.000,00.
As alíquotas, a princípio, parecem razoáveis e afastam o temor inicial de que a ANPD iria servir com manifesto propósito arrecadador, como acontece nos processos administrativos dos PROCONS, nos quais as faltas, ainda que leves, costumam ser apenadas em valores desproporcionais.
Faltaria aos PROCONS o que essa Resolução da ANPD prevê, ou seja, critérios lógicos e objetivos para a dosimetria e aplicação das sanções.
Importa destacar que quando a infração for considerada grave, poderá ainda ser acrescida dos seguintes percentuais, caso incidam as seguintes circunstâncias agravantes: I – 10% (dez por cento) para cada caso de reincidência específica, até o limite de 40% (quarenta por cento); II – 5% (cinco por cento) para cada caso de reincidência genérica, até o limite de 20% (vinte porcento); III – 20% (vinte por cento) para cada medida de orientação ou preventiva descumprida no processo de fiscalização ou do procedimento preparatório que precedeu o processo administrativo sancionador, até o limite de 80% (oitenta por cento); e IV – 30% (trinta por cento) para cada medida corretiva descumprida, até o limite de 90%(noventa por cento), tudo até o limite de R$ 50.000.000,00, conforme estabelecido na LGPD.
Reincidência específica, segundo o regulamento, é aquela na qual o agente infrator repete a infração ao mesmo dispositivo legal ou regulamentar, no período de 5 (cinco) anos, contado do trânsito em julgado do processo administrativo sancionador, até a data do cometimento da nova infração e, portanto, é apenada com mais gravidade.
Já, a reincidência genérica ocorre quando o agente infrator comete infração, independentemente do dispositivo legal ou regulamentar, no período de 5 (cinco) anos, contado do trânsito em julgado do processo administrativo sancionador até a data do cometimento da nova infração e, por tal razão é apenada com menos gravidade.
A Resolução igualmente prevê circunstâncias atenuantes para a dosimetria da pena, como, entre outras, a comprovação pelo infrator da implementação de medidas capazes de reverter ou mitigar os efeitos da infração sobre os titulares de dados pessoais afetados, o que nos parece salutar nos casos de exposição de dados pessoais por invasão criminosa de sistema.
Ademais, determinou-se nesta resolução que a ANPD poderá aplicar a sanção de multa diária quando necessária para assegurar o cumprimento, em prazo certo, de uma sanção não pecuniária ou de uma determinação estabelecida pela ANPD, até o limite de R$ 50.000.000,00.
O que não resta claro da Resolução é se a soma de todas as sanções, incluindo multas diárias e multas simples deverá obedecer ao limite global de R$ 50.000.000,00 estabelecido pela LGPD.
Ao nosso entender, esse limite deverá obrigatoriamente ser observado pela ANPD na somatória de todas as multas impostas, sob pena de violação à própria lei que se pretende regulamentar.
Em resumo, com tal regulamento, a ANPD poderá aplicar as sanções previstas na LGPD, bem como determinar a tomada de medidas cautelares, no âmbito dos processos administrativos que averiguam a ocorrência ou não de infração à LGPD ou às demais resoluções emitidas pela própria ANPD.