Em 27 de fevereiro de 2023, a Autoridade Nacional de Proteção de Dados (ANPD) publicou o Regulamento de Dosimetria e Aplicação de Sanções Administrativas (o “Regulamento”), que tem como principais objetivos (i) estabelecer os parâmetros e critérios para aplicação de sanções administrativas pela ANPD, bem como (ii) definir as formas e dosimetria para o cálculo do valor-base das sanções de multa.
O texto aprovado complementa e adita a Regulamentação sobre o Processo Administrativo e Sancionatório da ANPD publicada em outubro de 2021, materializando então a possibilidade de aplicação das sanções previstas no artigo 52 da LGPD para agentes de tratamento que venham a cometer infrações no campo da proteção de dados pessoais, respeitados o devido processo legal e o contraditório nesse processo.
O método estabelecido pela ANPD para a definição da sanção mais apropriada em cada caso leva em consideração 11 critérios, o que inclui uma análise sobre (i) a gravidade e natureza das infrações e dos direitos pessoais afetados, o (ii) grau de dano identificado, além da (iii) boa-fé do infrator, sua (iv) condição econômica e a (v) potencial vantagem auferida ou pretendida diante da infração. Ainda, é considerado em que medida houve (vi) a pronta adoção de medidas corretivas por parte do infrator, bem como se foram implementados (vii) mecanismos e procedimentos internos capazes de minimizar o dano.
Com base nesses critérios, as infrações poderão ser classificadas em (i) leves, (ii) médias ou (iii) graves e, a depender do seu enquadramento, sujeitas então ao leque de sanções consideradas proporcionais à situação identificada. Por exemplo, quando diante de infrações classificadas como “graves”, a ANPD poderá aplicar multa simples ao agente infrator.
No que diz respeito às sanções pecuniárias, a definição do valor-base da multa tem como ponto de partida uma metodologia objetiva prevista no Regulamento com o cálculo que será desenvolvido pela ANPD para tanto. Assim, serão considerados não apenas a (i) classificação da infração, mas ainda o (ii) grau do dano identificado, o (iii) faturamento do agente infrator, bem como eventuais (iv) circunstâncias atenuantes e agravantes presentes na infração (como a reincidência do agente, o cumprimento ou não de orientações preventivas que precederam o processo sancionador, a cessação da infração, a adoção de políticas de boas práticas de governança no dia a dia do agente infrator, dentre outros). Ainda, no caso de não pagamento da multa em até 20 dias úteis, juros e multa serão aplicáveis ao agente infrator.
Vale lembrar que a LGPD lista como possíveis sanções desde simples advertências ou a suspensão do uso dos bancos de dados pessoais afetados, até a publicização da infração ou a aplicação de multa, com limite total de R$ 50.000.000,00 (cinquenta milhões de reais). Nesse contexto, a aplicação de eventual penalidade não exclui a possibilidade de adoção de outras medidas administrativas pela ANPD para assegurar a conformidade do agente infrator à LGPD.