A minuta da norma da Autoridade Nacional de Proteção de Dados (ANPD) que estabelece a dosimetria para as sanções impostas àqueles que descumprirem a Lei Geral de Proteção de Dados Pessoais (LGPD) foi bem recebida pelo mercado. No geral, especialistas consideram que ela incentiva as empresas a adotarem boas práticas. A subjetividade na aplicação das punições, entretanto, foi vista como um ponto que precisa ser aprimorado.
Apesar de a aplicação de sanções já ser possível, o mercado espera que a ANPD comece efetivamente a usá-las apenas após a publicação da norma com a dosimetria das penas. Houve pedidos de adiamento do prazo para o envio de comentários à audiência pública, prevista para ser encerrada em 15 de setembro, mas, até o fechamento desta edição, não haviam sido atendidos.
A minuta de norma estabeleceu os critérios para a aplicação das sanções. Há alguns atenuantes e outros agravantes, e os dois influenciam no tipo de penalidade atribuída. Serão considerados, dentre outros, aspectos como a gravidade e a natureza das infrações e dos direitos pessoais afetados, a vantagem auferida, a condição econômica do infrator e a reincidência. Como atenuantes, por exemplo, há a boa-fé do infrator e a adoção de boas práticas e procedimentos.
As contribuições do mercado devem girar em torno da subjetividade envolvida na aplicação de algumas sanções. “Embora os critérios estejam previstos no projeto de maneira taxativa, a sua aplicação exigirá uma alta carga subjetiva por parte da ANPD”, consideram os advogados Renato Rossi Filho e Flavia Meleras, respectivamente associado e consultora do Vieira Rezende Advogados. Seria esse o caso, por exemplo, de critérios como “a gravidade e a natureza das infrações e dos direitos pessoais afetados”. Os advogados consideram que a definição deve ser aprimorada para conferir maior segurança jurídica.
Já para a advogada Aline Pelet Teles de Menezes, do escritório Mírian Gontijo Advogados, a maioria dos critérios é objetiva, e a autoridade preocupou-se em criar mecanismos de mensuração. Ela considera tímida a real adequação das empresas à LGPD e diz que uma atuação mais robusta da agência reguladora será necessária para fortalecer a aplicação da lei.
Na entrevista abaixo, Menezes, Meleras e Rossi Filho abordam os critérios da minuta da norma e os efeitos esperados.
Quais são as sanções previstas pela minuta da norma para quem descumprir a LGPD e quando elas serão aplicadas?
Aline Pelet Teles de Menezes: A LGPD estabelece que a ANPD definirá, por meio de regulamento próprio, sobre as sanções administrativas a infrações à lei e sobre as metodologias que orientarão o cálculo do valor-base das sanções de multa, a serem previamente publicadas para ciência dos agentes de tratamento. No Relatório de Análise de Impacto Regulatório publicado pela ANPD para consulta pública durante 30 dias, estabeleceu-se cinco tipos de sanções, conforme o artigo 52 da LGPD: a aplicação de advertência com indicação de prazo para adoção de medidas corretivas; multa simples; multa diária; publicização da infração; suspensão parcial do funcionamento do banco de dados, suspensão do exercício da atividade de tratamento dos dados pessoais e proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
Todas as sanções consideram o grau da infração e o fato de a empresa já ter se adequado ou estar em processo de adequação à LGPD. Sua aplicação terá início logo após a apuração da consulta pública que está aberta para sugestões até o dia 15 de setembro de 2022. Acredita-se que, a partir de outubro de 2022, as penalidades já terão efetividade.
Confira as principais notícias sobre LGPD e proteção de dados.
Flavia Meleras e Renato Rossi Filho: A proposta do “Regulamento de Dosimetria a Aplicação de Sanções Administrativas” da ANPD estabelece parâmetros e critérios para aplicação de sanções administrativas pela autoridade por meio da fixação de metodologias para aplicação das sanções e das formas e dosimetrias para o cálculo do valor base das multas aplicáveis.
As sanções de competência da ANPD em razão das infrações cometidas estão previstas no artigo 52 da LGPD:
- a) Advertência;
- b) Multa simples, de até 2% do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil, no seu último exercício;
- c) Multa diária;
- d) Publicização da infração;
- e) Bloqueio dos dados pessoais relacionados à infração;
- f) Eliminação dos dados pessoais relacionados à infração;
- g) Suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 meses, prorrogável por igual período;
- h) Suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere à infração pelo período máximo de 6 meses, prorrogável por igual período;
- i) Proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
A proposta de regulamentação trouxe a previsão expressa de que a aplicação de sanções pela ANPD não exclui a possibilidade de adoção de outras medidas administrativas, o que confirma a ampliação das medidas aplicáveis à infração da LGPD.
Sobre a data da aplicação das sanções, a proposta não traz nenhum marco temporal. Entretanto, esta proposta de regulamentação, assim como o “Regulamento do Processo de Fiscalização e do Processo Administrativo Sancionador” – aprovado pela “Resolução CD/ANPD 1” – é um importante passo para que a ANPD estruture e inicie efetivamente o procedimento sancionador.
Por fim, outra novidade da minuta é que ela estabelece valores mínimos a serem observados para adequação da sanção de multa simples para pessoas físicas e para pessoas jurídicas de direito privado, sem faturamento, dependendo da gradação da infração — leve, média ou grave —, iniciando com o valor de mil reais para a infração leve.
Que critérios a ANPD levará em conta para estabelecer as sanções da LGPD?
Aline Pelet Teles de Menezes: Para estabelecer sanções de forma adequada, a ANPD estabeleceu uma série de critérios. São eles, resumidamente:
- Gravidade e natureza das infrações e dos direitos pessoais afetados: A gravidade da infração consiste em avaliar a magnitude da violação do agente de tratamento ao instrumento normativo ou legal, considerando o possível impacto ao titular de dados pessoais.
- Boa-fé como parâmetro de circunstância atenuante: a boa-fé do infrator deve ser avaliada e aplicada no caso concreto pelo sistema de decréscimo de percentuais no cálculo do valor da sanção de multa ou no período da penalidade.
- Vantagem auferida como critério e parâmetro: Verificada a possibilidade de ser estimado o valor da vantagem auferida ou pretendida, tal valor seria utilizado como parâmetro e critério. O valor final da multa será, portanto, o maior valor entre: o dobro da vantagem auferida ou pretendida pelo agente, se auferível, e o valor base, ponderado pelas demais circunstâncias agravantes e atenuantes.
- Condição econômica do infrator: disposta na norma de dosimetria de forma geral, como parâmetro norteador da aplicação de sanções e, especificamente, na aplicação de multa diária.
- Reincidência: a ANPD diferencia a reincidência específica – que é o cometimento de nova infração, dentro de um determinado período, de idêntica tipificação legal ou regulamentar cuja decisão já tenha sido transitada em julgado administrativamente – da reincidência genérica, que é o cometimento de nova infração, dentro de um determinado período, de tipificação legal ou regulamentar distinta cuja decisão tenha transitado em julgado.
- Grau do dano: Para fins de valoração da sanção de multa simples ou diária, a proposta normativa considera como critérios o dano patrimonial e/ou moral resultante; o dano individual ou coletivo, além de prejuízos causados à Administração Pública. O grau do dano se restringe apenas ao exame do dano qualitativo, ou seja, à análise do quanto cada titular ou grupo de titulares de dados pessoais é afetado por uma infração, independentemente da quantidade de titulares atingidos.
- Cooperação do infrator: deverá ser aplicada pelo sistema de decréscimo de percentuais no cálculo do valor da sanção de multa ou no período da penalidade e deverá reduzir a pena em 5%, nos mesmos termos do sugerido para a boa-fé.
- Mecanismos e procedimento de segurança: recomenda-se que o agente demonstre, por meio de documentos, sistemas e demais meios disponíveis, a adoção e implementação de suas políticas de boas práticas e governança compatíveis com a atividade por ele exercida, para que possam ser devidamente avaliadas pela ANPD e aplicadas como atenuantes.
- Adoção de boas práticas: fator que permite uma gradação. Isso porque o agente pode adotar boas práticas para alguns aspectos do tratamento de dados pessoais, mas não para outros. Alternativamente, o agente pode ter uma política de boas práticas e privacidade completa, mas implementá-la de fato em apenas alguns aspectos. Assim, recomenda-se que esse fator seja adotado como atenuante de forma gradativa, de acordo com o caso concreto.
- Adoção de medidas corretivas: estabelecimento de diferentes níveis de atenuantes a serem aplicados, de acordo com o tempo que o agente de tratamento levou para corrigir a conduta, independentemente se tal ato foi decorrente da atividade preventiva ou voluntária.
- Proporcionalidade entre a gravidade da falta e a intensidade da sanção: deve ser analisado o caso concreto. A decisão de afastar a aplicação de alguma sanção quando se constatar prejuízo à proporcionalidade entre a gravidade da infração e a intensidade da sanção deve ser devidamente fundamentada, com indicação explícita da desproporcionalidade constatada, o interesse público a ser protegido, os critérios de conveniência e oportunidade adotados e os parâmetros de substituição da sanção.
Flavia Meleras e Renato Rossi Filho: A proposta de regulamento no artigo 7º prevê a existência de doze parâmetros e critérios como: a gravidade e a natureza das infrações e dos direitos pessoais afetados, a condição econômica do infrator, a boa-fé do infrator, a vantagem obtida ou pretendida, a reincidência (específica ou genérica), o grau do dano, a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados, em consonância com a LGPD, a adoção de política de boas práticas e governança pelo infrator, a rápida adoção de medidas corretivas e a proporcionalidade entre a gravidade da falta e a intensidade da sanção.
Esses critérios são objetivos ou subjetivos? Eles são suficientemente claros?
Aline Pelet Teles de Menezes: Os critérios elencados pela norma, são, em sua maioria, objetivos. O que determina o grau de subjetividade de cada critério é a forma de aplicação ao caso concreto. Por exemplo, a adoção de boas práticas, a proporcionalidade entre a gravidade da falta e a intensidade da sanção são critérios que, se analisados de forma superficial, trazem subjetividade para a aplicação. Entretanto, a ANPD preocupou-se em criar mecanismos que mensurem cada questão levantada.
Quer ler mais artigos e notícias sobre legislação e regulamentação? Clique aqui.
A análise das disposições da lei frente aos negócios da empresa, a adoção/criação de políticas e procedimentos, a criação de política de privacidade, a utilização de formulários e outras questões são importantes para demonstrar junto à ANPD a real preocupação dos controladores de dados em nosso país.
Flavia Meleras e Renato Rossi Filho: Embora os critérios estejam previstos no projeto de maneira taxativa, a sua aplicação exigirá uma alta carga subjetiva por parte da ANPD. Alguns critérios como “a gravidade e a natureza das infrações e dos direitos pessoais afetados”, para serem aplicados de forma que garanta segurança jurídica para as empresas, precisarão, na versão final da minuta, de uma melhor definição, seja no corpo da minuta, seja no apêndice 1, cuja tabela 2 exemplifica o grau do dano em algumas situações de infrações relacionadas ao tratamento de dados pessoais de maneira irregular. A mesma situação se aplica ao critério para mensurar o “grau do dano” e a “proporcionalidade entre a gravidade da falta e a intensidade da sanção”.
Em sua opinião, a norma contribui para dar mais segurança ao mercado e estimular as boas práticas relativas ao tratamento de dados pessoais? Há pontos a serem aprimorados?
Aline Pelet Teles de Menezes: De forma clara, o Relatório de Impacto Regulatório demonstra a preocupação da agência em criar mecanismos de cumprimento da lei. Entretanto, a real adequação das empresas ainda é tímida no mercado. Para que se fortaleça o aculturamento das disposições da LGPD, ainda é necessária uma atuação mais robusta da agência reguladora de caráter especial.
A edição do relatório que estabelece a dosimetria com certeza irá contribuir para uma maior efetividade e cumprimento das normas pelas empresas e profissionais liberais. Mas os efeitos apenas poderão ser sentidos após a realização da consulta pública, pois apesar de ter sido estabelecida uma série de critérios para aplicação de sanções, ainda é importante que a norma estabeleça prazos razoáveis para cumprimento e aplicação de cada questão levantada.
Flavia Meleras e Renato Rossi Filho: A iniciativa da ANPD em regulamentar a aplicação das sanções e estabelecer as formas e dosimetrias para o cálculo das multas, sem sombra de dúvidas, garante maior segurança jurídica ao mercado, já que ela traz maior previsibilidade sobre como será a aplicação das sanções e torna mais transparente a atuação da autoridade. Da mesma forma, a minuta contribuirá para estimular a adoção de boas práticas relativas ao tratamento de dados pessoais por parte das empresas e demais organizações, já que, além de tornar mais sólido o arcabouço jurídico da proteção de dados pessoais no Brasil, ela traz como critérios para definição de sanções a “adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados, em consonância com a LGPD” e “a adoção de política de boas práticas e governança”, o que incentivará muitas empresas a se adequarem à LGPD.
Entretanto, existem vários pontos a serem aprimorados, como o artigo 8º que classifica as infrações em “leves”, “médias” e “graves”, utilizando critérios muito subjetivos como “tratamento de dados em larga escala”, o que pode tornar difícil até mesmo a aplicação das sanções pela própria ANPD. Porém, tendo em vista que a proposta é uma minuta preliminar, após a tomada de subsídios, a ANPD, com as contribuições da sociedade e do mercado, poderá tornar a regulamentação mais adequada, transparente, com menos elementos subjetivos e definições consistentes, tornando a atuação da autoridade mais estável e previsível.
Comentários