O tão aguardado Regulamento que trata sobre a dosimetria e a aplicação das sanções administrativas pela Agência nacional de Proteção de Dados (ANPD), enfim foi aprovado pela Resolução CD/ANPD nº 4 [1] e publicado em 27 de fevereiro de 2023.
O referido ato se deu de acordo com as atribuições conferidas ao Conselho Diretor da Autoridade Nacional de Proteção de Dados, no artigo nº 55 J, IV e & 2º. da Lei Geral de Proteção de Dados (LGPD) .
Sinteticamente, o Regulamento de Dosimetria se propõe a definir, embora subsistam algumas subjetividades, a proporção da gravidade da infração, estando esta vinculada ao dano causado à sociedade. Verifica-se pela leitura do documento que o modelo adotado pela norma está intrinsicamente ligado à valoração do dano causado.
A aplicação das sanções administrativas elencadas nos incisos I à IX do art. 3º. do Regulamento dispõe que determinadas penalidades, tais como as que envolvem a suspensão parcial do banco de dados, o exercício da atividade de tratamento e a proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados que se referem a infração, será obrigatoriamente precedida de ao menos uma das sanções do artigo 3º. Inciso I à VI da norma legal.
São elas, a advertência nas hipóteses da infração se caracterizar como leve ou média e não configurar reincidência específica pelo agente de tratamento, multa simples, multa diária, publicização da infração, bloqueio dos dados pessoais e a eliminação dos dados pessoais relacionados a infração.
Significa, portanto, que as penalidades que envolvem suspensão parcial ou integral de atividades não poderão ser aplicadas diretamente pelo Órgão Regulador haja vista o caráter muitas vezes de dano à coletividade em decorrência da suspensão de serviços essenciais e que dependem de tratamento dos dados pessoais.
A norma também estabelece que na hipótese de aplicação da suspensão que envolva atividades de tratamento de dados, a ANPD comunicará o principal órgão regulador setorial ao qual se submete o controlador para que este também se manifeste durante a fase de instrução do processo administrativo.
A definição da sanção conforme disposto no art. 6 do Regulamento, leva em consideração, além da gravidade e da natureza das infrações e seus impactos, a vantagem econômica auferida ou pretendida do infrator, e diversos aspectos relacionados a conduta do agente de tratamento.
A conduta cooperativa, a adoção de medidas internas capazes de minimizar o dano, a adoção imediata das medidas corretivas e a implementação de políticas de boas práticas de governança do agente de tratamento são parâmetros de extrema relevância para a determinação do grau da sanção a ser aplicada.
Em seu art. 2, incisos VII e VIII, o Órgão Regulador conceitua a reincidência de conduta específica e a reincidência genérica que passam a ser tipificações de atitudes utilizadas para o enquadramento da infração e aplicação da sanção.
Portanto, mais uma vez percebemos o valor da conduta do agente de tratamento para fins de caracterização e aplicação da sanção. Tanto é verdade, que o não cumprimento da sanção aplicada por parte do infrator ou a ausência de regularização da conduta apontada dentro do prazo estipulado ensejará a progressão da atuação da ANPD para sanções mais graves.
Sem adentrar no tópico relativo à classificação das infrações em três níveis, leve, médio e grave, e que levarão em conta diversos fatores mencionados nos parágrafos 2º e 3º do artigo 8º da Lei Geral de Proteção de Dados, inconteste a conclusão de que o Órgão Regulador levará em conta o comportamento do agente de tratamento como fator agravante ou atenuante no enquadramento da sanção e aplicação da penalidade.
O princípio da accountability, que se traduz na capacidade do controlador em demonstrar o comprometimento na adoção de processos e políticas internas que assegurem o cumprimento de normas legais e boas práticas relativas à proteção de dados pessoais, trazido no artigo 50, I, da Lei Geral de Proteção de Dados, é fortemente reforçado no Regulamento de Dosimetria e Aplicação de Sanções Administrativas, aprovada pela Resolução CD/ANPD nº 4, de 24de fevereiro de 2023.
Portanto, não restam dúvidas quanto ao valor das boas condutas por parte do agente de tratamento como estratégia para a gestão de risco, pois, na prática, passam a ter elevado impacto no cálculo da dosimetria das sanções pela ANPD.
As condutas responsivas previstas no Regulamento de dosimetria por parte dos agentes de tratamento de dados pessoais têm impacto direto na aplicação da pena, uma vez que podem atenuá-la ou agravá-la.
Por: Martha Leal, Advogada especialista em proteção de dados, Mestre em Direito e Negócios Internacionais pela Universidad Internacional Iberoamericana Europea del Atlántico e pela Universidad Unini México, Data protection officer ECPB pela Maastricht University, certificada como data protection officer pela Exin e pela FGV-RJ e presidente da Comissão de Comunicação Institucional do Instituto Nacional de Proteção de Dados (INPD)
Nota
[1] ver em: https://www.gov.br/anpd/pt-br/assuntos/noticias/anpd-publica-regulamento-de-dosimetria/Resolucaon4CDANPD24.02.2023.pdf