O Conselho Diretor da ANPD publicou hoje (27/02/2023) Resolução para regular o procedimento de dosimetria das sanções administrativas, ou seja, norma norteadora para aplicação de medidas corretivas aos agentes de tratamento que estejam em contrariedade com a Lei Geral de Proteção de Dados Pessoais (LGPD). A Resolução entra em vigor imediato, na data de sua publicação, o que permite que sejam aplicadas as multas pela Autoridade.
O Regulamento traz conceitos, como o de grupo econômico, que permite que a ANPD possa aplicar multas sobre faturamento total de conglomerados, assim como o da reincidência, que passa a ter dois modelos, o da específica quando o mesmo infrator comete o mesmo tipo de violação no prazo de 5 anos (desde a vigência), e a genérica, quando o infrator comete qualquer tipo de violação dentro do prazo de 5 anos (desde a vigência).
O estabelecimento de uma dosimetria tem como objetivo apontar critérios de proporcionalidade entre a infração e a medida adotada pelo órgão regulador, que incluem níveis de gravidade da infração (leve, média ou grave), definição de circunstâncias atenuantes e agravantes, isto é, situações que possam reduzir ou aumentar o grau punitivo da medida imposta ao infrator, além de fórmula matemática para aferição do valor de multas aplicadas.
Quanto a dosimetria, dentro os critérios para aplicação da penalidade grave, havia uma expectativa de maior objetividade, mas a ANPD acabou não trazendo uma definição mais detalhada do que será considerado tratamento de larga escala, deixando uma definição subjetiva, como número significativo de usuários e volume de dados envolvido, sem parâmetros mais assertivos. Os indicadores para gravidade alta envolvem:
- tipo do dado (sensível, criança ou adolescente ou idoso); - volumetria: larga escala (pode ser número significativo de titulares, volume de dados, frequência, duração, alcance geográfico); - vantagem econômica; - risco à vida do titular; - efeitos discriminatórios ilícitos ou abusivos; - não ter base legal para tratar; - adoção sistemática de práticas irregulares (aqui não se usou o termo reincidência, pois não precisa ser a mesma irregularidade, pode ser distinta).
“Um ponto positivo foi a previsão da oitiva de demais autoridades reguladoras setoriais no momento de instrução, o que diminuiu o risco de entendimentos divergentes e aumenta o alinhamento entre Autoridades”, comenta Dra. Patricia Peck, CEO e sócia-fundadora do Peck Advogados, Conselheira Titular do Conselho Nacional de Proteção de Dados (CNPD) e Professora da ESPM.
Entre as sanções previstas estão: Advertência; Multa simples de até 2% do faturamento anual (limitada a 50 milhões de reais); a) Multa diária com limite total de 50 milhões de reais; b) publicização da infração; c) bloqueio dos dados pessoais envolvidos na infração; d) Eliminação dos dados pessoais envolvidos na infração; e) Suspensão parcial do funcionamento do banco de dados por até 6 meses (prorrogável por igual período); f) Suspensão do exercício de atividades de tratamentos de dados por até 6 meses (prorrogável por igual período); g) Proibição parcial ou total de atividades de tratamentos de dados.
A resolução é aplicável tanto para infrações antes de sua data de publicação, quanto para infrações futuras, o que significa que processos administrativos já em curso perante à ANPD terão como base as regras publicadas hoje. “Os próximos passos são: devem ser publicados os primeiros resultados de sanção e espera-se que a ANPD dê publicização das infrações, conforme previsto também no art. 52”, ressalta da advogada.