O Conselho Diretor da Autoridade Nacional de Proteção de Dados (CD/ANPD) publicou o tão esperado Regulamento de Dosimetria e Aplicação de Sanções Administrativas, em conjunto com a Resolução 4, estabelecendo tabelas para a dosimetria da punição nos casos de infração à Lei Geral de Proteção de Dados.
A medida estabelece quatro graus diferentes de escala de gravidade de danos impactos por violação da LGPD.
O Grau 3 é aplicado quando a infração ocasiona lesão ou ofensa a direitos ou interesses difusos, coletivos ou individuais, que têm impacto irreversível ou de difícil reversão sobre os titulares afetados, de ordem material ou moral, ocasionando, entre outras situações, discriminação, violação à integridade física, ao direito à imagem e à reputação, fraudes financeiras ou uso indevido de identidade.
Também se enquadram nesse grau os danos decorrentes de litigância de má-fé, tais como a alteração da verdade dos fatos, uso do processo para conseguir objetivo ilegal, resistência injustificada ao andamento do processo, atuação temerária em qualquer ato do processo ou impedimento da atuação da ANPD.
O Grau 2 atinge a infração que ocasiona lesão ou ofensa a direitos ou interesses difusos, coletivos ou individuais, que geram impactos aos titulares, de ordem material ou moral, que não se enquadram nos critérios indicados na descrição do grau de dano 0, 1 ou 3.
Também se enquadram nesse grau os danos decorrentes do envio de informações intempestivas ou cumprimento intempestivo com prejuízo direto para o processo de fiscalização ou administrativo sancionador ou para terceiros e que não decorra de litigância de má-fé.
O Grau 1 acontece quando a infração ocasiona lesão ou ofensa a direitos ou interesses de um número reduzido de titulares, com impacto de ordem material ou moral limitado, que pode ser revertido ou compensado com relativa facilidade.
Também se enquadram nesse grau o descumprimento de determinação ou envio ou disponibilização de informações fora dos prazos ou condições estabelecidos pela ANPD, sem prejuízo direto para o processo de fiscalização ou administrativo sancionador ou para terceiros e que não decorra de litigância de má-fé.
Quando a infração não ocasiona danos ou somente ocasiona danos com impactos insignificantes aos titulares, que decorrem de situações previsíveis ou corriqueiras e que não justificam a necessidade de compensação é considerado Grau O.
Dependendo da gravidade da infração e do dano causado, a ANPD pode aplicar as seguintes penalidades, conforme previsto na LGPD:
- Advertência, com indicação de prazo para adoção de medidas corretivas;
- Multa simples;
- Multa diária, limitada a um certo montante;
- Publicização da infração após devidamente apurada e confirmada sua ocorrência;
- Bloqueio dos dados pessoais a que se refere a infração até a sua regularização;
- Eliminação dos dados pessoais a que se refere a infração;
- Suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de seis meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;
Suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de seis meses, prorrogável por igual período e Proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
Quanto à dosimetria da multa, que é a forma como se calcula o valor da penalidade, pode-se observar certa semelhança com o Código de Defesa do Consumidor. Isso porque, tanto na LGPD quanto no CDC, a gravidade da infração e o dano causado são levados em conta para a definição da penalidade.
LEIA TAMBÉM:
- Testes de DNA de milhões de pessoas são vazados por hackers; entenda
- Empresa Activision tem dados de funcionários vazados
A multa pode variar de acordo com a gravidade da infração, no caso do CDC, nos termos dos artigos 56 e 57 e sua dosimetria tem sido calculada de forma diferente por cada órgão fiscalizador de acordo com normas internas, levando-se em conta critérios como a vantagem auferida com a prática da infração, a condição econômica do infrator, a reincidência, entre outros fatores.
Na LGPD, por sua vez, a penalidade pode variar de acordo com a gravidade do dano e do impacto causado, podendo ser fixada em até 2% do faturamento da empresa, limitado a R$ 50 milhões por infração.Nota-se que, tanto na LGPD quanto no CDC, é levada em conta a gravidade da infração e do dano causado para a definição da penalidade, sendo que a multa pode ser mais branda ou mais severa de acordo com esses critérios.
Assim sendo, vale destacar que tanto a LGPD quanto o CDC são leis que visam proteger direitos e interesses dos titulares de dados e dos consumidores, respectivamente. Ambas estabelecem sanções administrativas para as empresas que descumprirem as normas previstas, e a definição do valor da multa está diretamente relacionada com a gravidade da infração e do dano causado.
Tanto a LGPD como o CDC preveem diversas penalidades que podem ser aplicadas em caso de infração às suas normas, além da multa. Dentre as sanções previstas, estão a suspensão temporária da atividade, a cassação do registro do produto ou serviço, a proibição de fabricação do produto, a suspensão de fornecimento de produtos ou serviços, a suspensão temporária de participação em licitação, dentre outras.
Nesse sentido, observa-se mais uma vez a correlação da LGPD com o CDC, reafirmando a sua composição no Sistema Nacional de Proteção ao Consumidor.
Além disso, é possível verificar que tanto na LGPD quanto no CDC, a definição do valor da multa e a escolha da penalidade a ser aplicada levam em conta diversos critérios, como a gravidade da infração, o dano causado aos titulares de dados ou aos consumidores, a vantagem auferida com a prática da infração, a reincidência, entre outros. Além disso, ambas as leis estabelecem um conjunto de penalidades que podem ser aplicadas em caso de descumprimento das suas normas.
Uma questão importante emerge com a Resolução n.º 4 e o Regulamento de dosimetria e aplicação de sanções administrativas é se os termos deste regramento será a base para aplicação de sanções por todos os outros órgãos fiscalizadores tais como: PROCON, Ministério Público, SENACON etc. ou se veremos futuramente regramentos distintos para aplicação de sanções por estes órgãos como vemos comumente na aplicação de sanções do CDC: uma regra para cada órgão.
Assim sendo, ao analisar o tema pela segurança jurídica e pela função social das normas.
Seria mais eficaz estarmos diante de uma única norma para que se tenha a oportunidade de harmonização das condutas em desacordo com a LGPD promovendo o desenvolvimento econômico social, tendo em vista que a busca pela conformidade às normas de proteção de dados no país tem sido negligenciada por uma parcela considerável da economia e a multiplicidade de normas pode tornar este obstáculo mais complexo de ser transposto.
*Paulo Vinícius de Carvalho Soares é sócio e Data Protection Officer do Lee Brock Camargo Advogados, mestrando em direito civil pela PUC/SP, especialista em Direito Digital pela Fundação Getúlio Vargas e graduado pela Universidade de São Paulo
