Em 27 de fevereiro de 2023 foi publicada a Resolução CD/ANPD nº 4, de 2023, que aprovou o Regulamento de Dosimetria e Aplicação de Sanções Administrativas. Portanto, a partir
desta data, a ANPD poderá aplicar sanções administrativas previstas na LGPD, para
casos de infrações ocorridas a partir de outubro de 2021, ou infrações continuadas, que
persistiram até esta data, mesmo que tenham iniciado antes.
As infrações serão classificadas da seguinte forma:
Leves – quando não forem médias, nem graves;
Médias – quando a atividade de tratamento puder impedir ou limitar, de maneira
significativa, o exercício de direitos ou a utilização de um serviço, assim como ocasionar
danos materiais ou morais aos titulares, tais como:
(i) discriminação;
(ii) violação à integridade física;
(iii) violação ao direito à imagem e à reputação; e
(iv) fraudes financeiras ou uso indevido de identidade.
Graves – quando houver obstrução ao procedimento de fiscalização ou forem classificadas
como médias e ainda uma das seguintes hipóteses:
(i) envolver tratamento de dados pessoais em larga escala;
(ii) o infrator auferir ou pretender auferir vantagem econômica em decorrência da
infração cometida;
(iii) a infração implicar risco à vida dos titulares;
(iv) a infração envolver tratamento de dados sensíveis ou de dados pessoais de
crianças, de adolescentes ou de idosos;
(v) o infrator realizar tratamento de dados pessoais sem amparo em uma das hipóteses
legais previstas na LGPD;
(vi) o infrator realizar tratamento com efeitos discriminatórios ilícitos ou abusivos; ou
(vii) verificada a adoção sistemática de práticas irregulares pelo infrator.
Destaca-se a importância da atribuição da correta base legal às atividades de tratamento, que
pode caracterizar a infração como grave.
A penalidade de advertência poderá ser aplicada quando não houver necessidade de
imposição de medidas corretivas e o agente de tratamento não for reincidente na mesma
infração.
Será considerado reincidente, o agente de tratamento que cometer uma segunda infração no
período de 5 anos, podendo ser reincidência específica (violação ao mesmo dispositivo legal)
ou genérica (violação a outro dispositivo legal).
Além da advertência existem outras penalidades que podem ser aplicadas, como a multa
simples que, segundo a LGPD pode ser de até 2% do faturamento da empresa, ou grupo
econômico. A Resolução traz a fórmula que será utilizada para aferição deste valor. A multa
deverá ser paga em até 20 dias úteis.
Ainda, existem circunstâncias agravantes que podem aumentar a pena (de 5% até 30% cada),
como reincidência, descumprimento de medida orientativa ou corretiva.
Há também circunstâncias atenuantes, que podem reduzir a pena (de 5% a 75%), caso a
infração cesse antes da instauração do procedimento preparatório de fiscalização,
comprovação de adoção de mecanismos de mitigação de riscos, ou mesmo demonstração de
boa-fé e cooperação.
Existem pontos que incendiaram os debates jurídicos, como a possibilidade da Autoridade
Nacional de Proteção de Dados afastar a metodologia de dosimetria da pena prevista na
Resolução.
De todo modo, a Resolução preenche lacunas que até então impediam a aplicação das
sanções administrativas e revela pontos que merecem atenção especial dos times de
privacidade e proteção de dados, que poderão entender e revisar seus programas de
governança a fim de aumentarem a segurança jurídica do negócio.
