search
BlogGeral

Norma de Dosimetria e Aplicação de Sanções Admi...

Norma de Dosimetria e Aplicação de Sanções Administrativas: o que muda para as empresas?

Atualizado em 17 de maio de 23 | Geral  por

Bianca Nascimento Lara Campos

Recentemente, a Autoridade Nacional de Proteção de Dados (ANPD) publicou o Regulamento de Dosimetria e Aplicação de Sanções Administrativas, para tratar da gradação das punições previstas na Lei Geral de Proteção de Dados (LGPD). Com isso, a ANPD desenvolveu os critérios para as punições que serão aplicadas aos infratores da LGPD.

As sanções serão aplicadas após análise específica do caso pela ANPD, ao final de um processo administrativo sancionador. É assegurado às partes o direito à ampla defesa, ao contraditório e ao devido processo legal, como em qualquer processo administrativo.

Importante ressaltar que o regulamento está vigente desde sua publicação, em 27 de fevereiro de 2023, valendo, inclusive, para os processos administrativos iniciados antes de sua edição. Para que você entenda melhor as repercussões dessa norma e veja os principais aspectos do regulamento, respondemos às dúvidas frequentes sobre o tema. Acompanhe!

O que é a dosimetria de sanções administrativas da ANPD?

Dosimetria é o nome que damos à atividade de quantificar a gravidade de uma infração, aplicando uma punição proporcional à ofensa. Quando falamos da punição administrativa de infrações à LGPD, quem fará essa dosimetria é a ANPD. O Regulamento de Dosimetria e Aplicação de Sanções Administrativas é a norma que formata o método para a gradação e aplicação das penalidades. 

Não se trata apenas de quantificar a aplicação de multas pecuniárias. A sanção administrativa pode ser uma advertência, uma multa simples ou diária, a publicização da infração, a proibição parcial ou total do exercício de atividades relacionadas ao tratamento de dados pessoais, entre outras.

A dosimetria leva em conta a gravidade da infração cometida, o grau de culpabilidade do infrator, a vantagem auferida com a infração, a condição econômica do infrator, o porte da empresa, entre outros fatores relevantes para a aplicação da sanção administrativa.

É relevante frisar que os critérios do regulamento não são absolutos. A ANPD poderá desconsiderar a metodologia de dosimetria de multa ou alterar a aplicação de sanção por outra constante no regulamento se a aplicação da norma ferir a proporcionalidade no caso concreto, sopesadas a gravidade da infração e a intensidade da punição prevista.

Qual o propósito do regulamento de dosimetria ANPD?

A dosimetria aplicada pela ANPD é uma forma de garantir a aplicação justa e adequada das sanções administrativas previstas nos artigos 52 e 53 da LGPD. A ANPD aplicará as punições levando em conta as particularidades de cada caso concreto e seguindo critérios e parâmetros objetivos estabelecidos pelo Regulamento de Dosimetria e Aplicação de Sanções Administrativas.

A aplicação de sanção administrativa não exclui a possibilidade de a ANPD aplicar, no mesmo caso, outras medidas que estejam previstas na LGPD e no Regulamento do Processo de Fiscalização e do Processo Administrativo Sancionador, como a determinação de medidas corretivas.

Quais são as classificações das infrações perante a ANPD?

As infrações são classificadas por gravidade e natureza, além dos direitos pessoais violados. O grau do dano é uma informação importante, pois é um dado que será usado em uma fórmula matemática para o cálculo da multa. 

Veja a seguir as três classificações de infração e seus impactos para a dosimetria das sanções administrativas.

Infrações leves

A infração leve é o critério de exclusão, ou seja, toda infração que não puder ser considerada média ou grave, será leve. Além das medidas corretivas, as penalidades mais aplicáveis a este nível de infração serão as advertências e multa simples. Para infrações leves, os percentuais de multa simples variam de 0,08% a 0,15% do faturamento.

Infrações médias

A infração média à LGPD ocorre quando há risco de afetar significativamente os interesses e direitos fundamentais dos titulares. Exemplos de situações que se enquadram nessa categoria segundo o regulamento são:

  • Situações que possam afetar o exercício de direitos;
  • Infrações que possam ocasionar danos morais ou materiais aos titulares, inclusive os oriundos de atos de discriminação, violação à integridade física, ofensa ao direito de imagem e à reputação, fraudes financeiras ou uso indevido de identidade.

No caso das infrações médias, as penalidades serão mais severas e o intervalo estabelecido para a multa pecuniária das infrações médias está entre 0,13% e 0,5% do faturamento.

Infrações graves

As infrações graves são aquelas que, além de se enquadrar nas hipóteses previstas para a infração média, também contém alguma qualificadora adicional, a saber:

  • Quando o caso se relacionar a tratamento de dados pessoais em larga escala;
  • Caso o infrator auferir ou pretender auferir vantagem econômica em decorrência da infração à LGPD;
  • Se a infração causar risco à vida dos titulares dos dados pessoais;
  • Nas operações que infringem a LGPD se verificar que há tratamento de dados pessoais sensíveis ou de populações vulneráveis como crianças (até 12 anos), adolescentes (de 12 a 18 anos) ou idosos (60 anos ou mais);
  • Quando se constatar que a operação de tratamento de dados pessoais sem amparo nas hipóteses de legitimidade ou autorização previstas pela LGPD;
  • Se o infrator realizar operação de tratamento de dados pessoais com efeitos discriminatórios, ilícitos ou abusivos; ou
  • A ANPD verifica a adoção sistemática de práticas irregulares pelo infrator.

Os agentes enquadrados em infrações graves, além das medidas de conformidade, estarão sujeitos às penalidades mais severas previstas na LGPD, que incluem, dentre outras, o encerramento das atividades. Os percentuais do faturamento para o cálculo de multa por infração grave vão de 0,45% a 2%.

Quais são os tipos de sanções administrativas por infração à LGPD?

A LGPD já explicitava as sanções administrativas possíveis para os infratores, que permanecem as mesmas após o regulamento, que apenas organizou a forma de aplicá-las. Com exceção das multas, todas as demais sanções poderão ser aplicadas aos entes do Poder Público.

São aplicáveis as seguintes sanções administrativas:

  • Multa simples: é a penalidade pecuniária aplicável a todos os níveis de infração, variando em percentual do faturamento de acordo com a dosimetria das penas, podendo chegar a 2% do faturamento da empresa, com teto de R$ 50 milhões por infração;
  • Multa diária: quando houver a fixação de uma obrigação de fazer ou não fazer, a ANPD poderá fixar uma multa diária, a partir de 1% do faturamento por dia de descumprimento, limitada ao total de R$ 50 milhões. A multa diária será cobrada até que o infrator comprove que corrigiu seu comportamento, ou até que atinja o valor máximo;
  • Publicização da informação: a ANPD pode divulgar publicamente informações sobre as empresas que infringiram a legislação, incluindo o nome da empresa, a descrição da infração e a sanção aplicada. Essa medida tem o objetivo de conscientizar o público e criar um ambiente de transparência e conformidade com a LGPD;
  • Bloqueio de dados pessoais: nessa situação, a empresa é obrigada a suspender o acesso e a utilização dos dados pessoais que foram objeto da infração. O bloqueio tem como objetivo impedir que os dados sejam tratados indevidamente enquanto a empresa regulariza a situação e toma as medidas necessárias para cumprir as disposições da LGPD;
  • Eliminação de dados pessoais: a eliminação dos dados pessoais é uma consequência possível de infrações graves à LGPD. A ANPD pode determinar que a empresa infratora apague completamente os dados pessoais coletados de forma irregular, não autorizada ou que não estejam mais sendo utilizados para a finalidade consentida pelos titulares;
  • Suspensão parcial do funcionamento do banco de dados: em casos de infrações mais graves, a ANPD pode determinar a suspensão parcial do funcionamento do banco de dados utilizado pela empresa para o tratamento de dados pessoais. Essa sanção implica na interrupção temporária das atividades relacionadas ao banco de dados por um período de até 6 meses, podendo ser prorrogado por igual período. Durante esse intervalo, a empresa não poderá realizar tratamento de dados naquela base específica, forçando-a a regularizar a situação e adotar as medidas necessárias para garantir a conformidade com a LGPD;
  • Suspensão do exercício da atividade de tratamento: em casos de infrações graves ou reincidência, a ANPD pode determinar a suspensão do exercício da atividade de tratamento de dados pessoais por um período de até 6 meses, prorrogável por igual período. Essa sanção implica na proibição total da empresa em realizar qualquer tipo de tratamento de dados durante o período determinado. É uma medida drástica que visa proteger os direitos dos titulares dos dados e incentivar a empresa a adotar práticas adequadas de proteção de dados;
  • Proibição parcial ou total do exercício de atividades relacionadas ao tratamento de dados: em casos extremos de infração à LGPD, a ANPD pode aplicar a proibição parcial ou total das operações do infrator que sejam relacionadas ao tratamento de dados. Essa sanção impede a empresa de realizar qualquer atividade que envolva o tratamento de dados pessoais. Essa medida é aplicada em situações graves e visa punir infrações significativas à LGPD, garantindo a proteção dos direitos dos indivíduos afetados.

Quais os impactos da dosimetria das penas pela ANPD nas empresas?

O primeiro impacto mais evidente da publicação do regulamento é a existência de critérios claros e objetivos para aplicação das sanções administrativas pela ANPD. A aplicação de sanções no âmbito da ANPD não exclui a reparação de danos e nem a imposição de multas previstas em outras leis, como o Código de Defesa do Consumidor ou as normas do Banco Central. Por isso, o compliance regulatório da empresa deve se atentar a todas as normas eventualmente aplicáveis em sua operação para organizar a mitigação de riscos.

Com a regulamentação de dosimetria das penas da ANPD, a aplicação de sanções administrativas se torna mais clara e transparente. Isso aumenta a segurança jurídica para as empresas que tratam dados pessoais, protegendo de forma efetiva os titulares desses dados. É importante que as empresas estejam sempre em conformidade com a LGPD, a fim de evitar qualquer tipo de sanção ou multa por parte da ANPD.

Clique aqui para ver mais conteúdos relevantes e não deixe de assinar a nossa Newsletter no formulário abaixo!

Bianca Nascimento Lara Campos é bacharel em Direito pela Universidade Presbiteriana Mackenzie, pós-graduada em Filosofia e Teoria do Direito na PUC-Minas. Advogada atuante em São Paulo, com foco em Direito Civil, Empresarial e Compliance, bem como atuação nos tribunais estaduais e superiores.