Na última segunda-feira, dia 27/02, a Autoridade Nacional de Proteção de Dados publicou a Resolução CD/ANPD nº 4/2023 que aprova o Regulamento de dosimetria e aplicação de sanções administrativas para os casos de infrações à LGPD ou a regulamentos da própria ANPD.
Foram estabelecidos os parâmetros e critérios para aplicação de sanções administrativas, pecuniárias e não pecuniárias, além de trazer formas e dosimetrias para o cálculo do valor-base das sanções de multa. As infrações foram classificadas, conforme a sua gravidade, em leves, médias ou graves.
Entre as sanções não pecuniárias temos a advertência, a publicização da infração, o bloqueio de dados pessoais, entre outras. Há um indicativo de que, pelo menos neste momento inicial, haverá um intuito mais pedagógico, priorizando-se a aplicação das sanções não pecuniárias sobre as sanções pecuniárias – embora o Regulamento permita a cumulação de sanções.
De um modo geral, as sanções pecuniárias de multa diária ou multa simples serão ponderadas conforme a classificação da infração e grau do dano. Para a multa simples, também será considerado o faturamento do infrator no último exercício disponível, com a possibilidade de aplicação de circunstâncias agravantes ou atenuantes para acrescer ou reduzir o seu valor-base.
Importante frisar que constaram expressamente como circunstâncias atenuantes do valor da multa simples, capazes de ensejar sua redução em até 20%: a comprovada implementação de política de boas práticas e de governança; ou a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar os danos aos titulares, voltados ao tratamento seguro e adequado de dados.
Também destacamos que foi estabelecido um conceito objetivo sobre grupo ou conglomerado de empresas que tem o condão de garantir à ANPD a aplicação de multas com base no faturamento total do Grupo Econômico – art. 52 da LGPD.
O Regulamento apresenta em seus apêndices diversas fórmulas de cálculo para a multa simples, onde a gravidade da infração é um elemento relevante, determinando os percentuais de faturamento a serem utilizados como base, entre outros parâmetros.
O limite máximo da multa simples, por infração, será o menor valor entre: a) R$ 50.000.000,00 (cinquenta milhões de reais); e b) 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado de empresas no Brasil, no último exercício, excluídos os tributos.
Já o limite mínimo para pessoa jurídica com faturamento será de R$ 3.000,00 (três mil reais) para infrações leves, R$ 6.000,00 (seis mil reais) para infrações médias e R$ 12.000,00 (doze mil reais) para infrações graves. Entretanto, se for possível estimar a vantagem econômica auferida ou pretendida com a infração, esse limite mínimo deve respeitar o dobro dessa vantagem, se resultar em valor superior aos montantes anteriormente mencionados.
Com a publicação do regulamento, a ANPD passa a ter todas as condições necessárias para dar início à aplicação das sanções.