Sanções Administrativas da ANPD já podem ser aplicadas
Em 27 de fevereiro de 2023 a Autoridade Nacional de Proteção de Dados (ANPD) aprovou o Regulamento de Dosimetria e Aplicação de Sanções Administrativas, que determina a metodologia a ser adotada para a aplicação das nove sanções previstas na Lei nº 13.709/2018 (“LGPD”). Com isso, a partir de 27 de fevereiro de 2022, as seguintes sanções já podem ser aplicadas:
(i) advertência;
(ii) multa simples, de até 2% do faturamento da pessoa jurídica, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 por infração;
(iii) multa diária, observado o limite total acima;
(iv) publicização da infração;
(v) bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
(vi) eliminação dos dados pessoais a que se refere a infração;
(vii) suspensão parcial do funcionamento do banco de dados a que se refere a infração, por até 6 meses, prorrogáveis por igual período, até a regularização da infração;
(viii) suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração por até 6 meses, prorrogáveis por igual período; e(ix) proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
Observação:
As sanções (vii) a (ix) somente podem ser aplicadas após a imposição de uma das sanções descritas nos itens (ii) a (vi) para o mesmo caso. As sanções são engatilhadas sempre que há qualquer descumprimento de qualquer obrigação estabelecida pela LGPD.
1) O Regulamento se aplica aos processos administrativos em curso;
2) O Regulamento estabeleceu o conceito de “grupo ou conglomerado de empresas”1, e faturamento2. Tais conceitos impactam diretamente na base de cálculo da multa de até 2% do faturamento esse grupo no Brasil.
3) A ANPD poderá somar os faturamentos em todos os ramos de atividade empresarial3 afetados quando (i) a infração tenha ocorrido em mais de um ramo de atividade empresarial ou (ii) os dados pessoais abrangidos pela infração são aproveitados, relacionados, ou utilizados como fontes de informação para processos de outros ramos de atividade da empresa, do grupo ou do conglomerado.
4) Infrações serão majoradas em três níveis, conforme breve detalhamento a seguir:
- Leves:
Estabelecida por critério de eliminação, ou seja, é caracterizada quando os elementos das infrações de natureza média e grave não estão presentes.
- Médias:
Caracterizada quando a infração afetar significativamente interesses e direitos fundamentais dos titulares. Isso ocorre, dentre outras situações, naquelas em que a atividade de tratamento puder impedir o exercício de direitos ou a utilização de um serviço, e/ou ocasionar danos materiais ou morais aos titulares, tais como discriminação, violação à integridade física, ao direito à imagem e à reputação, fraudes financeiras ou roubo de identidade.
- Graves:
Quando a infração constituir obstrução à atividade de fiscalização ou quando uma infração média for verificada juntamente à alguma das seguintes hipóteses:
(a) envolver tratamento de dados pessoais em larga escala (número significativo de titulares ou de dados pessoais envolvidos, longa duração ou frequência, ou, ainda, significativa extensão geográfica)
(b) o infrator aufira ou pretendia auferir vantagem econômica em decorrência da infração cometida;
(c) a infração implicar risco à vida ou à integridade física dos titulares;
(d) a infração envolver tratamento de dados sensíveis ou de dados pessoais de crianças e adolescentes e/ou de idosos;
(e) o infrator realizar tratamento de dados pessoais sem amparo em uma das hipóteses legais previstas na LGPD;
(f) o infrator realizar tratamento com efeitos discriminatórios ilícitos ou abusivos; ou
(g) verificada a adoção sistemática de práticas irregulares.
5) A partir da determinação da gravidade da infração, a ANPD determinará quais são as sanções administrativas cabíveis. O Regulamento estabelece a hipótese de aplicação de cada sanção da LGPD:
6) O Regulamento de Dosimetria também detalha como será realizado o cálculo da multa simples. A multa diária também levará em conta a classificação da infração (leve, média ou grave), assim como o grau do dano a ser exposto a seguir. A metodologia envolve as seguintes fases:
A. Classificar a infração em leve, média ou grave, como detalhado anteriormente.
B. Aferir o percentual do faturamento, caso o infrator seja pessoa jurídica com faturamento, conforme abaixo:
Para aquelas pessoas jurídicas sem faturamento no último exercício, deve-se considerar no valor-base de cálculo da multa: (i) o valor do último faturamento apurado pelo infrator, excluídos os tributos, atualizado até o último dia do exercício anterior à aplicação da sanção, ou (ii) na ausência deste, as seguintes faixas de valores absolutos:
C. Determinar o grau do dano. A ANPD disponibilizou uma tabela com a descrição dos graus possíveis, que acompanham um fator de multiplicação para a multa:
D) Cálculo da multa base. Conforme passos 1 a 4 acima, a alíquota base da multa é calculada com base na seguinte fórmula:
Alíquota base = (A2 – A1 ) x Grau do Dano + A1
3
Nesse sentido, o valor-base da multa, sobre o qual incidirão agravantes e atenuantes, é verificado a partir do seguinte cálculo:
Multa-base = Alíquota base x (faturamento – tributos)
Para as pessoas jurídicas sem faturamento, o valor-base da multa será calculado da seguinte forma:
Multa-base = (V2 – V1 ) x Grau do Dano + V1
3
E) Analisar se irão incidir agravantes e/ou atenuantes. Uma vez auferida a multa base, o Regulamento determina um percentual de acréscimo ou redução para diversas situações listadas, que podem ser cumuladas, somando-se os percentuais, sendo agravantes ou atenuantes.
→ Resta evidente que manter um programa de governança em proteção de dados é relevante e significativo para a ANPD, figurando como atenuante das multas.
F) Determinar o valor final.
O valor final da multa, tanto para pessoas jurídicas com ou sem faturamento, será determinado da seguinte forma:
Valor da multa = Multa-base x (1 + soma das agravantes – soma das atenuantes)
O Regulamento determina, ainda, que o valor da multa simples não poderá ser inferior ao dobro da vantagem auferida ou pretendida, quando estimável.
Além desse padrão mínimo auferido a partir da vantagem, em qualquer caso o valor final da multa não pode ser inferior aos valores mínimos descritos abaixo para pessoas jurídicas com faturamento:
Para pessoas jurídicas sem faturamento, os valores mínimos serão:
G. Exceção à metodologia acima
A ANPD poderá afastar toda a metodologia de dosimetria prevista acima, “nos casos em que for constatado prejuízo à proporcionalidade entre a gravidade da infração e a intensidade da sanção” (art. 27). Segundo o Regulamento de Dosimetria, a decisão que venha a afastar a metodologia deverá demonstrar “a necessidade e a adequação da medida imposta, a desproporcionalidade constatada, o interesse público a ser protegido e os parâmetros adotados na aplicação da sanção, consideradas as consequências práticas da decisão” (parágrafo único do art. 27).
8. Pagamento
Como regra geral, a multa simples como a diária devem ser pagas em até 20 dias úteis4. A multa simples será contada da ciência oficial da decisão que a aplicou. A multa diária, por sua vez, deverá ser contada a partir da ciência oficial da decisão que tenha apurado o respectivo montante devido.
Caso o infrator não pague a multa dentro desse prazo, correrão juros de mora pela Selic, acrescidos de 1% no mês do pagamento, além de multa moratória de 0,33% por dia de atraso, até o limite de 20%.
Caso o infrator não efetue o pagamento dentro dos prazos descritos acima, também perderá a redução de 25% no valor da multa, que eventualmente tenha garantido por renunciar ao direito de recorrer da decisão de primeira instância.
Diante da entrada em vigor do Regulamento de Dosimetria, fica claro que a conformidade com a LGPD e com a regulação da ANPD, além de ser uma questão de boa prática e ética empresarial, é uma necessidade legal para qualquer entidade que queira realizar negócios com dados pessoais.
É essencial, portanto, que programas de governança em privacidade sejam implementados ou constantemente revistos e atualizados, com, por exemplo, o mapeamento dos tratamentos de dados pessoais realizados, a adequação de contratos com terceiros e de políticas de privacidade para titulares, inclusive empregados, a implementação de políticas e processos voltados a resposta de incidentes de segurança da informação, descarte correto de dados pessoais e atendimento a direitos dos titulares, o mapeamento de atividades de tratamento de alto risco com a correspondente realização de relatórios de impacto, fortalecimento dos controles organizacionais e técnicos para a segurança dos dados pessoais, entre outros diversos controles e medidas.
Manteremos sempre nossos clientes e parceiros atualizados a respeito do panorama legal e regulatório de proteção de dados no Brasil.
1 O conjunto de empresas, de fato ou de direito, com personalidades jurídicas próprias, sob direção, controle ou administração de uma pessoa natural ou jurídica ou, ainda, grupo de pessoas que detêm, isolada ou conjuntamente, poder de controle sobre as demais, desde que demonstrado interesse integrado, efetiva comunhão de interesses e atuação conjunto das empresas dele integrantes.
2 I - receita bruta de que trata o art. 12 do Decreto-Lei nº 1.598, de 26 de dezembro de 1977 (lei do imposto de renda), excluídas as devoluções e vendas canceladas, bem como os descontos concedidos incondicionalmente;
II - a receita bruta de que trata o § 1º do art. 3º da Lei Complementar nº 123, de 14 de dezembro de 2006 (microempresas ou empresas de pequeno porte), excluídas as devoluções e vendas canceladas, bem como os descontos concedidos incondicionalmente, para pessoas jurídicas de direito privado optantes pelo Simples Nacional;
III - o montante total de recursos auferidos, excluídos os tributos sobre vendas, para pessoas jurídicas de direito privado sem fins lucrativos, nos termos da legislação vigente; ou
IV - o valor definido pela ANPD, que poderá considerar: (a) o limite de faturamento previsto nos incisos I e II do art. 3º ou no § 1º do art. 18-A, conforme o caso, da Lei Complementar nº 123, de 14 de dezembro de 2006 (respectivamente receita bruta igual ou inferior a R$ 360.000,00 e receita bruta superior a esse valor e igual ou inferior a R$ 4.800.000,00), no caso dos optantes pelo Simples Nacional;
(b) o limite de faturamento previsto no inciso I, § 1º, do art. 4º, da Lei Complementar nº 182, de 1ºde junho de 2021 (receita bruta de até R$ 16.000.000,00 ou de R$ 1.333.334,00 multiplicado pelo número de meses de atividade no ano-calendário anterior, quando inferior a 12 meses), no caso de startups;
(c) o faturamento total da empresa, do grupo ou conglomerado de empresas no Brasil, caso não disponível a informação referente ao ramo de atividade empresarial em que ocorreu a infração;
(d) o somatório dos rendimentos recebidos por pessoas naturais referentes a atividades de tratamento de dados pessoais, direta ou indiretamente; ou
(e) nos demais casos, o limite de faturamento correspondente ao valor máximo de multa de R$ 50.000.000,00 (cinquenta milhões de reais).
A ANPD poderá definir o valor do faturamento, conforme item IV acima, quando:
I - o infrator não apresentar documentação inequívoca e idônea, caracterizada, dentre outras formas, por meio de fraude, falsidade, erro, inexatidão, simulação ou omissão quanto a qualquer elemento definido em lei como sendo de declaração obrigatória;
II - o infrator não apresentar documentação dentro do prazo estabelecido pela ANPD; ou
III - o valor do faturamento for apresentado de forma incompleta.
3 Ramo de atividade empresarial: área de atuação de empresa, grupo ou conglomerado de empresas, conforme definido pela ANPD e verificado no caso concreto, podendo ser comprovada mediante objeto social, código de Classificação Nacional de Atividades Econômicas (CNAE), código de serviço diretamente relacionado, ou instrumentos congêneres.
