Norma publicada no fim de fevereiro pela Autoridade Nacional de Proteção de Dados (ANPD) sobre a aplicação de sanções administrativas em caso de violação às regras de proteção de dados pessoais mostra que as empresas devem, cada vez mais, se preocupar em elaborar e manter um bom plano de governança de dados pessoais.

A Resolução CD/ANPD 4 abre a possibilidade de se aplicar multas, cujo valor, segundo a Lei Geral de Proteção de Dados Pessoais – LGPD (Lei 13.709/18), pode chegar a 2% do faturamento da empresa ou grupo econômico, no seu último exercício, excluídos os tributos, com limite de R$ 50 milhões por infração.

A lei prevê também sanções administrativas, que podem variar de uma advertência até a proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados, dependendo da classificação da infração – leve, média e grave.

Além do prejuízo monetário, a multa traz outro potencial impacto para as empresas infratoras: os danos a sua reputação, que podem abalar a confiança do consumidor. Esse é mais um motivo para que as organizações redobrem os cuidados com a governança dos dados pessoais e se mantenham em conformidade com as normas que regulam o tema.

Fiscalização e incentivo a treinamentos

Durante a fiscalização, a ANPD poderá exigir cópia dos documentos relevantes para avaliar as atividades de tratamento de dados pessoais. A autarquia também poderá ter acesso a instalações, equipamentos, aplicativos, sistemas, ferramentas, recursos tecnológicos, dados e informações de natureza técnica, operacional e outras relevantes, para a devida avaliação.

O procedimento de fiscalização pode se dar por iniciativa da própria ANPD, em programas periódicos de fiscalização ou de forma coordenada com outros órgãos e entidades públicos, como CVM, Bacen, Cade, Senacon, ou mesmo em cooperação com autoridades de proteção de dados pessoais de outros países.

Além de fiscalizar procedimentos sobre proteção de dados pessoais, a ANPD atribui, em suas normas, importância especial à realização de treinamentos sobre proteção de dados pessoais e cibersegurança. Esse tipo de iniciativa contribui para consolidar uma cultura de proteção de dados capaz de impactar o comportamento das pessoas e os processos operacionais da organização.

Entre suas medidas de orientação, a ANPD sugere expressamente que os agentes regulados realizem treinamentos e cursos e recomenda que essas iniciativas envolvam empregados, fornecedores, parceiros e stakeholders. O descumprimento de medida de orientação conta como agravante para fins de cálculo da sanção administrativa.

Critérios para aplicação das sanções

Para definir a sanção a ser aplicada, serão levados em consideração, entre outros critérios mencionados no art. 7º do Regulamento de Dosimetria, a:

  • boa-fé do infrator;
  • cooperação do infrator;
  • adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados, em consonância com a LGPD;
  • adoção de política de boas práticas e governança;
  • pronta adoção de medidas corretivas.

A aplicação de multa em eventual procedimento, portanto, será balizada por questões relacionadas à postura, prevenção e reação do infrator. Assim, serão consideradas:

  • a postura no agir corretamente (boa-fé e cooperação);
  • a prevenção, expressa tanto no trabalho de planejamento (adoção de mecanismos para diminuir o dano), quanto na elaboração de normas e processos internos que assegurem o cumprimento abrangente da legislação de proteção de dados pessoais, estabelecidos e implementados pelo agente de tratamento mediante a adoção de regras de boas práticas e de governança, nos termos do art. 50, caput e § 1º, da LGPD ou mediante programa de governança em privacidade, nos termos do § 2º do art. 50 da LGPD (adoção de política de boas práticas e governança); e
  • a reação nas respostas, que devem ser ágeis e assertivas diante dos incidentes e/ou irregularidades constatadas (pronta adoção de medidas corretivas).

Cálculo das multas

Em relação ao cálculo das multas, de acordo com o Regulamento de Dosimetria, parte-se do conceito da alíquota-base, sobre o qual será levado em conta o percentual do faturamento do infrator, nos seguintes termos:

  • de 0,08% a 0,15%, quando a infração for leve;
  • de 0,13% a 0,5% do faturamento, quando a infração for média; e
  • de 0,45% a 1,50% do faturamento, quando a infração for grave.

Além disso, para o cálculo da alíquota-base, também se levará em conta o grau do dano causado pela infração. Há quatro níveis:

  • Primeiro nível – de valor nulo, quando a infração não ocasiona danos ou somente ocasiona danos com impactos insignificantes, que decorrem de situações previsíveis ou corriqueiras e que não justificam a necessidade de compensação;
  • Segundo nível – de peso 1, quando a infração ocasiona lesão ou ofensa a direitos ou interesses de um número reduzido de titulares, com impacto de ordem material ou moral limitado, que pode ser revertido ou compensado com relativa facilidade;
  • Terceiro nível – de peso 2, quando a lesão afeta direitos ou interesses difusos, coletivos ou individuais que, dadas as circunstâncias do caso, geram impactos aos titulares de ordem material ou moral, que não podem ser revertidos ou compensados facilmente; e
  • Quarto nível – de peso 3, quando a ofensa a direitos ou a interesses difusos, coletivos ou individuais tem impacto irreversível ou de difícil reversão sobre os indivíduos afetados, ocasionando, entre os impactos de ordem material ou moral, aspectos de discriminação, violação à integridade física, ao direito à imagem e à reputação, fraudes financeiras ou uso indevido de identidade.

O grau do dano faz parte da operação matemática estabelecida no regulamento. Sua definição e respectivo peso, portanto, impactam diretamente no resultado dessa equação, para a qual também contribuirão a classificação da infração – e seu respectivo percentual do faturamento do infrator.

Em uma segunda etapa da dosimetria, são considerados os tributos incidentes subtraindo-os do faturamento. Chega-se, assim, ao chamado valor-base da multa, sobre o qual serão avaliadas as circunstâncias agravantes e as atenuantes (terceira etapa), para, então, obter o montante final do valor.

Quando houver uma vantagem auferida – e se essa for estimável – a dosimetria terá uma quarta etapa. Nela será verificado se o valor da multa resultante é ao menos o valor do dobro da vantagem auferida. Se o valor da multa for menor, será feito um ajuste para que o montante final da multa seja o dobro da vantagem auferida na infração.

Circunstâncias agravantes

São consideradas circunstâncias agravantes a reincidência e o não cumprimento de medida de orientação ou de medida corretiva descumpridas no processo de fiscalização ou do procedimento preparatório que precedeu o processo administrativo sancionador.

Para casos de reincidência, o valor da multa simples será acrescido de 5%, nos casos de reincidência genérica, e 10%, nos casos de reincidência específica, até o limite de 20% a 40%, respectivamente.

Considera-se genérica a reincidência de infração cometida pelo mesmo infrator, independentemente do dispositivo legal ou regulamentar. Já a incidência específica é a repetição da infração incidindo no mesmo dispositivo legal ou regulamentar.

Em ambos os casos, para fins de aplicação de reincidência, conta-se o período de cinco anos entre a data do trânsito em julgado do processo administrativo sancionador anterior e a data da nova infração.

Em relação ao descumprimento de medidas, o acréscimo será de 20% para cada medida descumprida, até o limite de 80%. São medidas de orientação da ANPD:

  • a elaboração e disponibilização de guias de boas práticas e de modelos de documentos para serem utilizados por agentes de tratamento;
  • a sugestão aos agentes regulados de realizar treinamentos e cursos;
  • a elaboração e disponibilização de ferramentas de autoavaliação de conformidade e de avaliação de riscos a serem utilizadas pelos agentes de tratamento;
  • o reconhecimento e a divulgação das regras de boas práticas e de governança; e
  • a recomendação de utilizar padrões técnicos que facilitem o controle pelos titulares de seus dados pessoais; de implementar programa de governança em privacidade; e de observar códigos de conduta e boas práticas estabelecidas por organismos de certificação ou outra entidade responsável.

Nos casos de descumprimento de medidas corretivas, ou seja, daquelas determinadas pela ANPD para corrigir a infração e reconduzir o infrator à plena conformidade à LGPD e aos regulamentos expedidos pela ANPD – o acréscimo sobre o valor da multa simples será de 30% por medida, até o limite de 90%.

Em caso de mais de uma circunstância agravante – por exemplo, reincidência do infrator e descumprimento de medida de orientação – os percentuais relativos a cada parcela deverão ser somados.

Situações atenuantes

Em relação às circunstâncias atenuantes, o valor da multa simples será reduzido de 75% a 30% nos casos de cessação da infração.

Quando a cessação ocorrer antes da instauração do procedimento preparatório pela ANPD, o percentual será de 75%; após a instauração de procedimento preparatório e até a instauração de processo administrativo sancionador, 50%; e após a instauração de processo administrativo sancionador até a prolação da decisão de primeira instância no âmbito do processo administrativo sancionador, 30%.

Nos casos mencionados anteriormente, não serão considerados atenuantes a cessação da infração ocasionada pelo simples cumprimento de determinação administrativa ou judicial.

Também é considerada circunstância atenuante a comprovação de que o infrator, até a prolação da decisão de primeira instância no âmbito do processo administrativo sancionador, implementou política de boas práticas e de governança ou adotou, reiteradamente e de modo demonstrável, mecanismos e procedimentos internos voltados ao tratamento seguro e adequado de dados, capazes de minimizar os danos aos titulares. Nesses casos, a multa será reduzida em 20%.

Se o infrator comprovar a implementação de medidas capazes de reverter ou mitigar os efeitos da infração sobre os titulares de dados pessoais afetados, haverá redução de 20% da multa. Para isso, a implementação deverá ocorrer antes da instauração de procedimento preparatório ou do processo administrativo sancionador pela ANPD.

A redução será de 10% quando essa implementação tiver ocorrido depois da instauração de procedimento preparatório e até a instauração de processo administrativo sancionador.

Não será considerada atenuante a adoção de medidas pelo infrator ocasionadas pelo simples cumprimento de determinação administrativa ou judicial.

A constatação, por parte da ANPD, de que o infrator agiu de forma cooperativa ou demonstrou boa-fé é outra situação atenuante, que poderá reduzir em 5% o valor da multa.

Se houver mais de uma situação atenuante, seguindo o mesmo raciocínio das circunstâncias agravantes, os percentuais deverão ser somados em benefício do infrator.

Pagamento da multa

Após o devido processo legal, observado o contraditório e a ampla defesa, uma vez imposta a multa pela ANPD, ela deverá ser paga no prazo de 20 dias úteis, a partir da ciência oficial da decisão, com exceção dos agentes de tratamento de pequeno porte. Esses terão prazo em dobro para pagamento. Se o pagamento não for feito na data prevista pelo regulamento, serão aplicados juros de mora e multa moratória de 0,33%.

Será possível recorrer da ANPD, mas, se o infrator renunciar expressamente a esse direito, ele fará jus a um percentual de 25% de redução no valor da multa aplicada. Se o recurso for apresentado e aceito, o valor da multa paga será restituído com correção de juros (taxa Selic).

Diante de todas essas implicações, é fundamental que as organizações se mantenham atentas às regras relativas à proteção de dados, privacidade e cibersegurança, seja por meio de equipe própria ou de especialistas contratados, capazes de garantir uma governança de dados bem-estruturada e eficaz.