No dia 27 de fevereiro de 2023, foi publicada no diário oficial da União a Resolução CD/ANPD nº 04/2023, que aprovou o regulamento que disciplina a dosimetria e aplicação de sanções administrativas, com a forma de aplicação do processo de fiscalização e do processo administrativo sancionador, no âmbito da Autoridade Nacional de Proteção de Dados – ANPD.
Para contextualizar essa medida, é importante lembrar Lei Geral de Proteção de Dados Pessoais (LGPD) foi publicada em agosto de 2018 e entrou em vigor, com exceção das sanções administrativas, em setembro de 2020, trazendo diversas obrigações e responsabilidades visando o uso ético, seguro e responsável para aqueles que tratam dados pessoais. Para garantir o cumprimento dessas disposições, a LGPD previu a criação da Autoridade Nacional de Proteção de Dados (ANPD)[1], com competência para regulamentar a Lei, além de fiscalizá-la e aplicar penalidades.
As sanções entraram em vigor em 1º de agosto de 2021, mas ainda dependiam da definição de regras processuais e critérios de dosimetria pela ANPD para que pudessem ser aplicadas mitigando o risco de insegurança jurídica às decisões e aos regulados.
Em 28 de fevereiro, a ANPD publicou a Resolução CD/ANPD nº1/2021[2], por meio da qual aprovou o Regulamento do Processo de Fiscalização e do Processo Administrativo Sancionador. Com isso, faltavam as regras de dosimetria, as quais finalmente foram publicadas em 27/02/2023, por meio da Resolução CD/ANPD Nº 4/23[3].
E o que muda com a publicação do Regulamento de Dosimetria?
Com a nova norma, as premissas estabelecidas pela LGPD (art. 53, §1º) para que as sanções administrativas sejam aplicadas pela ANPD estão atendidas. Assim, após o respectivo procedimento administrativo que possibilite o contraditório e a ampla defesa em cada avaliação de infração, as violações às regras de proteção de dados pessoais previstas na LGPD poderão ser punidas pela ANPD com as sanções do seu artigo 52 (que variam desde advertência e podem chegar à multas de R$ 50 milhões).
Vejamos alguns pontos relevantes do Regulamento de Dosimetria:
- Forma de classificação da infração (leve, média ou grave);
- Critérios para aplicação de advertência; multa simples e diária; bloqueio e eliminação dos dados pessoais; suspensão do funcionamento do banco de dados; proibição do exercício de atividades de tratamento de dados; e publicização da infração;
- Incidência de agravantes e atenuantes;
- Metodologia para aplicação de sanção de multa (alíquota-base, valor da multa e adequação aos limites mínimo e máximo da multa).
Como ficam as disposições sobre Startups, Micro e Pequenas Empresas?
Vale lembrar que, em 2022, a ANPD publicou regulamento específico (através da Resolução CD/ANPD nº 2[4]) para abarcar a aplicação das normas da LGPD para startups, micro e pequenas empresas. Ou seja, para aqueles agentes de tratamento considerados de pequeno porte. O objetivo foi equilibrar a necessidade de adequação dessas empresas às exigências legais impostas pela LGPD, de maneira a não inviabilizar o desenvolvimento econômico, a inovação e a sustentabilidade desses negócios e, por outro lado, que pudesse fomentar o respeito à proteção dos dados pessoais e possibilitar o cumprimento da Lei.
Quanto à aplicação das sanções administrativas, o racional é semelhante. Foram previstas flexibilizações em relação a alguns aspectos, como: a) no caso do prazo, que será em dobro para o pagamento das multas (art. 17, § 2º); e b) para a definição do valor-base da multa, a ANPD deverá considerar, dentre outros elementos, o limite de faturamento previsto (i) nos incisos I e II do art. 3º ou no § 1º do art. 18-A da Lei Complementar 123/2006, no caso das empresas optantes pelo Simples Nacional; e (ii) no inciso I, § 1º, do art. 4º da Lei Complementar nº 182, no caso das startups.
As sanções serão aplicadas de imediato?
Conforme declarou recentemente o Presidente da ANPD, Waldemar Ortunho, apenas em 2022 a Autoridade recebeu 1110 denúncias de potenciais violações; 703 petições de titulares de dados; 287 comunicados de incidentes de segurança envolvendo dados pessoais; 40 processos de fiscalização, 16 já concluídos e 16 em curso no âmbito da regulação responsiva; e 8 processos administrativos passíveis de punição[5]. Ou seja, é provável que em 2023 tenhamos as primeiras sanções por infrações à LGPD.
No entanto, esperamos que a atuação da ANPD seja responsiva, com a adoção de medidas proporcionais ao risco identificado e à postura dos agentes, conforme Resolução 01/2021 CD/ANPD. Ou seja, exigência de mínima intervenção na imposição de condicionantes administrativas; fiscalização baseada em evidências e riscos regulatórios; estímulo à conciliação direta entre as partes e priorização da resolução do problema; incentivo à responsabilização e prestação de contas; e mecanismos de transparência, retroalimentação e autorregulação.
[1] https://www.gov.br/anpd/pt-br
[2] https://www.gov.br/anpd/pt-br/documentos-e-publicacoes/regulamentacoes-da-anpd/resolucao-cd-anpd-no1-2021
[3] https://www.gov.br/anpd/pt-br/assuntos/noticias/anpd-publica-regulamento-de-dosimetria/Resolucaon4CDANPD24.02.2023.pdf/view
[4] https://www.in.gov.br/en/web/dou/-/resolucao-cd/anpd-n-2-de-27-de-janeiro-de-2022-376562019
[5] Conforme matéria do Valor, publicada em 13/02/23 (https://valor.globo.com/empresas/noticia/2023/02/13/lei-de-protecao-de-dados-entra-em-nova-fase-este-ano.ghtml).
Fonte: Assessoria Técnica FecomercioSP