A Autoridade Nacional de Proteção de Dados (ANPD) publicou nesta segunda-feira, 27, o Regulamento de Dosimetria e Aplicação de Sanções Administrativas (Resolução CD/ANPD Nº 4), para estabelecer parâmetros e critérios para aplicação de sanções pela ANPD, bem como as formas para o cálculo do valor-base das multas. A norma direciona a aplicação de medidas corretivas aos agentes de tratamento que estejam em contrariedade com a Lei Geral de Proteção de Dados Pessoais (LGPD).
O regulamento estabelece as hipóteses de aplicação de cada sanção e a forma de definição do valor-base da multa simples, segundo a classificação da infração, faturamento do infrator e o grau de dano realizado. A norma ainda define os acréscimos e reduções a serem aplicados às multas, no caso de haver circunstâncias agravantes ou atenuantes, respectivamente.
A regulamentação também determina os critérios para a aplicação da multa diária, necessária para assegurar o cumprimento, de uma sanção não pecuniária ou de uma determinação estabelecida pela ANPD. O valor dessa multa incidirá de forma acumulada, considerando o tempo entre a sua aplicação e o cumprimento da obrigação, até o limite total de R$ 50 milhões por infração.
Segundo a resolução, a multa deverá ser paga no prazo de até 20 dias úteis, contados a partir da ciência oficial da decisão de aplicação da penalidade. Aos agentes de tratamento de pequeno porte, será concedido prazo em dobro para a quitação. Não havendo, pagamento, a norma prevê a incidência de juros de mora e de multa moratória.
Sanções
Segundo a norma, além da advertência, da multa simples e da multa diárias, as infrações (de natureza leva, média ou grave) sujeitarão o infrator às seguintes sanções administrativas:
Publicização da infração: a ANPD poderá aplicar ao infrator a sanção de publicização, considerando a relevância e o interesse público da matéria. Esta sanção consiste na divulgação da infração pelo próprio infrator, após devidamente apurada e confirmada a sua ocorrência.
Bloqueio dos dados pessoais: essa sanção consiste na suspensão temporária de qualquer operação de tratamento com os dados pessoais a que se refere a infração, mediante a sua guarda, até a regularização da conduta pelo infrator.
Eliminação dos dados pessoais: a sanção de eliminação dos dados pessoais consiste na exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado.
Suspensão parcial do funcionamento do banco de dados: essa sanção tem o fim de suspender o funcionamento de banco de dados em desacordo com a legislação de proteção de dados pessoais. A penalidade será aplicada pelo período máximo de seis meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador, levando em consideração a complexidade para regularização e a classificação da infração.
Suspensão do exercício de atividade de tratamento dos dados pessoais: essa sanção tem o objetivo de suspender o exercício de atividade de tratamento dos dados pessoais a que se refere a infração, com o fim de assegurar o cumprimento das normas legais e regulamentares, e será aplicada pelo período máximo de seis meses, prorrogável por igual período.
Proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados: essa sanção consiste no impedimento parcial ou total das operações de tratamento de dados pessoais, e poderá ser aplicada nos casos em que houver reincidência em infração punida com suspensão parcial do funcionamento do banco de dados ou suspensão do exercício da atividade de tratamento dos dados pessoais; ocorrer tratamento de dados pessoais com fins ilícitos, ou sem amparo legal; ou o infrator perder ou não atender as condições técnicas e operacionais para manter o adequado tratamento de dados pessoais.
Princípio da proporcionalidade
A ANPD poderá afastar a metodologia de dosimetria de sanção de multa ou substituir a aplicação de sanção por outra constante no regulamento, nos casos em que for constatado prejuízo à proporcionalidade entre a gravidade da infração e a intensidade da sanção.
A Resolução Nº 4 entrou em vigor na data de sua publicação, obrigando as empresas à adequação à Lei Geral de Proteção de Dados.
