REGULAMENTO DE DOSIMETRIA E APLICAÇÃO DE SANÇÕES ADMINISTRATIVAS REFLEXŌES E DESTAQUES

Em artigo, sócios da Patricia Peck advogados analisam o regulamento de dosimetria e aplicações das sanções administrativas com base na LGPD

A Proteção de Dados no Brasil mantém o ritmo acelerado de evolução e constante aprimoramento normativo. O mais recente capítulo na construção da defesa à privacidade foi a publicação em 24 de fevereiro de 2023 da Resolução nº 4 por parte da ANPD, que estabelece a dosimetria das sanções administrativas, já aplicável para os processos em curso.

A nova resolução traz eficácia para os dispositivos da lei, ao enfim definir critérios para aplicação das medidas corretivas aos agentes de tratamento em decorrência das infrações cometidas à LGPD. Os pontos de destaque são:

• a classificação de sanções por nível de gravidade;
• a regra para sancionamento de grupos econômicos;
• a estipulação das causas agravantes e atenuantes;
• a definição do enquadramento de reincidência específica e genérica;
• a obrigatoriedade da oitiva de demais reguladores setoriais;
• hierarquização de sanções e;
• a instituição de sistema de proporcionalidade.

Os parâmetros de gradação das medidas sancionatórias estão estabelecidos por nível de gravidade, conforme reproduzido a seguir:

Essa diferenciação permite uma melhor adequação da medida sancionatória ao caso concreto, no entanto, a abordagem utilizada na resolução pode ensejar certo grau de insegurança jurídica. A título de exemplo, o art. 8 º, § 2º, dá margem à subjetividade na definição do nível de gravidade ao descrever os efeitos da infração, assim como o §3º apresenta elementos que categorizam a infração grave, gerando legítimas dúvidas quando enfrentamento de um caso prático.

Com a atual redação, surge o risco de discricionariedade ocupar um espaço indevido na análise de infrações. Há ainda o fato de a autoridade elencar danos morais como elemento a fundamentar uma sanção, sendo que a análise e valoração de danos morais é, em regra, a atribuição do Poder Judiciário.

No tocante à definição do valor-base da multa, será considerado o faturamento total da empresa, do grupo ou conglomerado de empresas no Brasil, caso não disponível a informação referente ao ramo de atividade empresarial em que ocorreu a infração.

No entanto, art. 11, §2º, ressalta que caso a infração tenha ocorrido em mais de um ramo de atividade empresarial, ou os dados pessoais envolvidos estejam relacionados com processos de outros ramos de atividade da empresa, o valor-base será calculado observando a soma de todos os ramos da atividade empresarial.

Neste sentido, é ainda mais importante realizar a revisitação dos compartilhamentos de dados pessoais entre empresas de um mesmo grupo econômico, notadamente para mitigar riscos de uma infração praticada apenas por um deles.

A resolução também inaugura a estrutura de agravantes e atenuantes para casos de aplicação de multa simples. A ANPD entendeu por utilizar sistema baseado em escalonamento percentual, e assim criar uma gradação de agravantes e atenuantes. Desta forma, a multa será majorada nos casos abaixo:

• Reincidência específica (a ocorrência na mesma infração, duas ou mais vezes no
• período de 5 anos): 10% a 40%;
• Reincidência genérica (cometimento de uma infração seguida de outra, de natureza
• diversa, também no período de 5 anos): 5% a 20% 3 ;
• Descumprimento de medida orientativa ou preventiva: 20% a 80%;
• Descumprimento de medida corretiva: 30% e 90%.

As circunstâncias atenuantes, nas palavras de Rodrigo Santana, coordenador de normatização da ANPD, funcionam como uma premiação quando o agente em desconformidade, se adequa a lei, ainda que de forma tardia. Assim, a redução ocorre em:

• 75%, caso o agente de tratamento consiga cessar a infração antes da ANPD instaurar procedimento preparatório; 
• 50% se a cessação ocorrer após instauração de procedimento preparatório e até a instauração de procedimento administrativo sancionador;
• 30% se a infração for cessada após a instauração de processo administrativo sancionador, até a prolação de decisão de primeira instância.

Merece destaque que a multa será atenuada em 20% caso o agente infrator tenha implementado políticas de boas práticas em privacidade, ou adoção de procedimentos internos de mitigação de danos aos titulares, até a decisão de primeiro grau. Ou seja, contar com apoio de consultoria especializada em proteção de dados, mesmo que a infração não seja cessada, já representa uma redução de 20% no impacto punitivo.

Considerando o valor máximo das multas, a simples implementação de um projeto de privacidade pode representar uma economia de até 10 milhões de reais, demonstrando a importância desse investimento.

A resolução de dosimetria implicitamente acabou por criar duas espécies de sanções. Uma aplicável somente para “infratores primários”, que não incidiram em violação prévia à LGPD, como multa simples, multa diária, publicização da infração, bloqueio de dados pessoais e eliminação de dados pessoais.

Já as medidas de suspensão do funcionamento do banco de dados, suspensão do exercício de atividades de tratamento e proibição do exercício de atividades de tratamento são reservadas somente para os infratores reincidentes. O que implica dizer que as punições mais severas são reservadas aos casos de descumprimento sistemático e reiterado da legislação.

O art. 27 da resolução agrega um importante racional de proporcionalidade, o que torna possível afastar a metodologia de dosimetria da sanção de multa, em casos em que a medida indicada seja desproporcional à gravidade da infração. O que abre novamente margem de subjetividade, para a criação de metodologia “sob demanda”, para cada caso. O mesmo dispositivo permite ainda, alternativamente, substituir a sanção desproporcional por outra mais adequada à infração, ainda que em contrariedade com os parâmetros objetivos estipulados na normativa.

A iniciativa de introduzir sistema de proporcionalidade merece elogios, no entanto a redação do dispositivo pode ser aprimorada para evitar excessiva discricionariedade e maior grau de coesão com o restante da norma.  Assim, podemos concluir que o anseio em responder às dúvidas do mercado ao ainda incipiente arcabouço normativo, demanda que a ANPD realize trabalho sereno e ponderado quando do enfrentamento de casos já aptos a julgamento, permitindo clareza e segurança jurídica aos agentes de tratamento.

A autoridade brasileira vem demonstrando em diversas oportunidades sua preocupação com a participação social, com o impacto econômico de suas medidas, e com o constante diálogo com reguladores setoriais. Considerando isso, é razoável afirmar que a tendência da ANPD é assumir o caminho do bom senso, e que suas normativas irão evoluir e se adequar às melhores práticas regulatórias.

Por isso, cabe às empresas, igualmente, iniciar e/ou atualizar seus Programas de Governança em Privacidade, com a indicação formal de seu Encarregado pelo Tratamento de Dados pessoais e contemplando normativos, treinamentos campanhas de conscientização, canal de atendimento disponível ao titular e técnicas de segurança da informação, de modo que possibilite evidenciar claramente a adoção de políticas de boas práticas em privacidade.

Afinal, considerando o valor máximo das multas, a simples implementação de um projeto de privacidade pode representar, em casos extremos, uma economia de até 10 milhões de reais, demonstrando a importância desse investimento. Conte com o Peck Advogados nesta jornada.

Artigo escrito por:

Patricia Peck, CEO e sócia do Peck Advogados, Conselheira Titular do Conselho Nacional de Proteção de Dados (CNPD) e Professora da ESPM.

Caroline Teófilo, sócia do Peck Advogados e gestora do Núcleo de DPO.

Henrique Rocha, sócio do Peck Advogados e gestor do Contencioso Digital e Resposta a
Incidentes.