ANPD publica regulamento de aplicação de sanções administrativas às empresas que não cumprirem a LGPD

No último dia 27/02/2023, o Conselho Diretor da Autoridade Nacional de Proteção de Dados (ANPD) publicou a Resolução nº 04/2023, que regula o procedimento de dosimetria das sanções administrativas.

Trata-se, portanto, de uma norma que norteia a aplicação de medidas corretivas aos agentes de tratamento que estejam em contrariedade com a Lei Geral de Proteção de Dados Pessoais (LGPD), isto é, ela orienta a escolha da sanção mais apropriada para cada caso concreto em que houver violação à LGPD e permite calcular, quando cabível, o valor da multa aplicável ao infrator.

Em síntese, a Resolução tem dois objetivos:

A) Regulamentar os artigos 52 e 53 da LGPD e definir os critérios e parâmetros para as sanções pecuniárias e não pecuniárias pela ANPD, bem como as formas e dosimetrias para o cálculo do valor-base das multas; e

B) Alterar os artigos 32, 55 e 62 da Resolução CD/ANPD nº 01/2021, com vistas a aprimorar o processo administrativo sancionador e de fiscalização, permitindo-se que a ANPD evolua na atividade repressiva, respeitados o devido processo legal e o contraditório, de modo a proporcionar segurança jurídica e transparência para todos os envolvidos.

Efetivamente, essa norma estabelece as circunstâncias, as condições e os métodos de aplicação das sanções, considerando, dentre outros aspectos, o dano ou o prejuízo causado aos titulares de dados pelo descumprimento à LGPD, a fim de garantir a proporcionalidade entre a sanção aplicada e a gravidade (leve, média ou grave) da conduta do agente.

As indicações do que serão consideradas infrações leve, média ou grave estão previstas expressamente nos §§1º, 2º, 3º do artigo 8º da Resolução.

Nesse contexto, poderão ser aplicadas todas as 09 (nove) sanções já previstas no artigo 52 da LGPD – e que agora estão devidamente regulamentadas por essa Resolução, quais sejam:

– Advertência;

– Multa simples, de até 2% (dois por cento) do faturamento da empresa, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais), por infração;

– Multa diária, com limite total de R$ 50.000.000,00 (cinquenta milhões de reais);

– Publicização da infração;

– Bloqueio dos dados pessoais;

– Eliminação dos dados pessoais;

– Suspensão parcial do funcionamento do banco de dados por no máximo de 6 (seis) meses, prorrogável por igual período, até que se regularize a situação;

– Suspensão do exercício da atividade de tratamento dos dados pessoais por no máximo de 6 (seis) meses, prorrogável por igual período; e

– Proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.

Essas sanções deverão ser aplicadas de forma gradativa, isolada ou cumulativamente, de acordo com as peculiaridades do caso concreto e nos termos da Resolução.

Importante observar que o artigo 28 da Resolução é expresso ao garantir que "as disposições constantes deste Regulamento aplicam-se também aos processos administrativos em curso quando de sua entrada em vigor", o que significa dizer que ela é aplicável tanto para infrações ocorridas antes de sua data de publicação, quanto para infrações futuras, de forma que os processos administrativos já em curso perante à ANPD antes da Resolução terão como base as regras ora publicadas.

Portanto, a partir de agora a ANPD poderá aplicar as sanções administrativas com base em requisitos claros e estabelecidos, de modo a proporcionar segurança jurídica e transparência para todos os envolvidos.

A arrecadação das multas aplicadas pela ANPD será destinada ao Fundo de Defesa de Direitos Difusos, que tem por finalidade a reparação dos danos causados ao meio ambiente, ao consumidor, a bens e direitos de valor artístico, estético, histórico, turístico, paisagístico, por infração à ordem econômica e a outros interesses difusos e coletivos.

A equipe do CM Advogados fica à disposição para esclarecimentos.