O Regulamento de dosimetria e aplicação de sanções administrativas apresenta algumas tabelas para pena em caso de infração às normas da LGPD
Por Paulo Vinícius de Carvalho Soares
O Regulamento de dosimetria e aplicação de sanções administrativas publicado pelo Conselho Diretor da Autoridade Nacional de Proteção de Dados (CD/ANPD), no dia 24/02/2023, em conjunto com a Resolução n.º 4, apresenta algumas tabelas para a dosimetria da pena em caso de infração às normas da LGPD.
Uma das tabelas apresentadas se refere à escala de gravidade de danos e impactos causados por uma infração à LGPD, classificando-as em quatro graus diferentes. Essa escala é importante para a definição da penalidade a ser aplicada pela ANPD.
Na tabela apresentada, a ANPD estabelece quatro graus diferentes de danos e impactos decorrentes da infração, que são os critérios utilizados para definir a gravidade da infração e a consequente penalidade a ser aplicada. Esses graus são os seguintes:
Grau 3 – quando a infração ocasiona lesão ou ofensa a direitos ou interesses difusos, coletivos ou individuais, que têm impacto irreversível ou de difícil reversão sobre os titulares afetados, de ordem material ou moral, ocasionando, entre outras situações, discriminação, violação à integridade física, ao direito à imagem e à reputação, fraudes financeiras ou uso indevido de identidade.
Também se enquadram nesse grau os danos decorrentes de litigância de má-fé, tais como a alteração da verdade dos fatos, uso do processo para conseguir objetivo ilegal, resistência injustificada ao andamento do processo, atuação temerária em qualquer ato do processo ou impedimento da atuação da ANPD.
Grau 2 – quando a infração ocasiona lesão ou ofensa a direitos ou interesses difusos, coletivos ou individuais, que geram impactos aos titulares, de ordem material ou moral, que não se enquadram nos critérios indicados na descrição do grau de dano 0, 1 ou 3.
Também se enquadram nesse grau os danos decorrentes do envio de informações intempestivas ou cumprimento intempestivo com prejuízo direto para o processo de fiscalização ou administrativo sancionador ou para terceiros e que não decorra de litigância de má-fé.
Grau 1 – quando a infração ocasiona lesão ou ofensa a direitos ou interesses de um número reduzido de titulares, com impacto de ordem material ou moral limitado, que pode ser revertido ou compensado com relativa facilidade.
Também se enquadram nesse grau o descumprimento de determinação ou envio ou disponibilização de informações fora dos prazos ou condições estabelecidos pela ANPD, sem prejuízo direto para o processo de fiscalização ou administrativo sancionador ou para terceiros e que não decorra de litigância de má-fé.
Grau 0 – quando a infração não ocasiona danos ou somente ocasiona danos com impactos insignificantes aos titulares, que decorrem de situações previsíveis ou corriqueiras e que não justificam a necessidade de compensação.
Assim, de acordo com a gravidade da infração e do dano causado, a ANPD pode aplicar as seguintes penalidades, conforme previsto na LGPD:
– Advertência, com indicação de prazo para adoção de medidas corretivas;
– Multa simples;
– Multa diária, limitada a um certo montante;
– Publicização da infração após devidamente apurada e confirmada sua ocorrência;
– Bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
– Eliminação dos dados pessoais a que se refere a infração;
– Suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de seis meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;
– Suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de seis meses, prorrogável por igual período;
– Proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
No que se refere à dosimetria da multa, que é a forma como se calcula o valor da penalidade, pode-se observar certa semelhança com o Código de Defesa do Consumidor. Isso porque, tanto na LGPD quanto no CDC, a gravidade da infração e o dano causado são levados em conta para a definição da penalidade.
No caso do CDC, a multa pode variar de acordo com a gravidade da infração, nos termos dos artigos 56 e 57 e sua dosimetria tem sido calculada de forma diferente por cada órgão fiscalizador de acordo com normas internas, levando-se em conta critérios como a vantagem auferida com a prática da infração, a condição econômica do infrator, a reincidência, entre outros fatores.
Na LGPD, por sua vez, a penalidade pode variar de acordo com a gravidade do dano e do impacto causado, podendo ser fixada em até 2% do faturamento da empresa, limitado a R$ 50 milhões por infração.
Nota-se que, tanto na LGPD quanto no CDC, é levada em conta a gravidade da infração e do dano causado para a definição da penalidade, sendo que a multa pode ser mais branda ou mais severa de acordo com esses critérios.
Desta forma, vale destacar que tanto a LGPD quanto o CDC são leis que visam proteger direitos e interesses dos titulares de dados e dos consumidores, respectivamente.
Ambas estabelecem sanções administrativas para as empresas que descumprirem as normas previstas, e a definição do valor da multa está diretamente relacionada com a gravidade da infração e do dano causado.
Igualmente como na LGPD, o CDC prevê diversas penalidades que podem ser aplicadas em caso de infração às suas normas, além da multa.
Dentre as sanções previstas, estão a suspensão temporária da atividade, a cassação do registro do produto ou serviço, a proibição de fabricação do produto, a suspensão de fornecimento de produtos ou serviços, a suspensão temporária de participação em licitação, dentre outras.
Portanto, observa-se mais uma vez a correlação da LGPD com o CDC, reafirmando a sua composição no Sistema Nacional de Proteção ao Consumidor.
Além disso, é possível verificar que tanto na LGPD quanto no CDC, a definição do valor da multa e a escolha da penalidade a ser aplicada levam em conta diversos critérios, como a gravidade da infração, o dano causado aos titulares de dados ou aos consumidores, a vantagem auferida com a prática da infração, a reincidência, entre outros.
Além disso, ambas as leis estabelecem um conjunto de penalidades que podem ser aplicadas em caso de descumprimento das suas normas.
A questão que emerge com a Resolução n.º 4 e o Regulamento de dosimetria e aplicação de sanções administrativas é se os termos deste regramento será a base para aplicação de sanções por todos os outros órgãos fiscalizadores tais como: PROCON, Ministério Público, SENACON etc. ou se veremos futuramente regramentos distintos para aplicação de sanções por estes órgãos como vemos comumente na aplicação de sanções do CDC: uma regra para cada órgão.
Nota-se que ao analisar o tema pela segurança jurídica e pela função social das normas, seria mais eficaz estarmos diante de uma única norma para que se tenha a oportunidade de harmonização das condutas em desacordo com a LGPD promovendo o desenvolvimento econômico social, tendo em vista que a busca pela conformidade às normas de proteção de dados no país tem sido negligenciada por uma parcela considerável da economia e a multiplicidade de normas pode tornar este obstáculo mais complexo de ser transposto.
Sobre o autor
Paulo Vinícius de Carvalho Soares é sócio e Data Protection Officer do Lee Brock Camargo Advogados, mestrando em direito civil pela PUC/SP, especialista em Direito Digital pela Fundação Getúlio Vargas e graduado pela Universidade de São Paulo
Por uma cultura de proteção de privacidade: a governança de dados e as boas práticas LGPD
LGPD pode diminuir vazamento de dados em redes sociais
Pesquisadores lançam dados e análises sobre o uso da LGPD no Brasil
Junte-se a nós na construção de um futuro digital mais seguro e confiável!
Ao longo de dez anos, trilhamos um caminho de pioneirismo com foco em segurança digital, identificação e privacidade. Celebramos essa jornada com a certeza de que a confiança é a base para um futuro digital sólido e promissor.
Mas a nossa missão continua! Convidamos você, leitor, e sua empresa a se juntarem a nós nesta jornada em busca de um futuro digital ainda mais seguro e confiável. Acreditamos no poder da colaboração para construir um ecossistema digital onde empresas, máquinas e pessoas possam confiar muito mais uma nas outras.