A esperada dosimetria da LGPD chegou.
Em 27 de fevereiro de 2023, a Autoridade Nacional de Proteção de Dados (ANPD) publicou a Resolução CD/ANPD Nº 4/2023.
Também chamada de Regulamento de Dosimetria e Aplicação de Sanções Administrativas, a resolução veio garantir a efetividade da Lei Geral de Proteção de Dados Pessoais e a segurança jurídica dos agentes de tratamento de dados pessoais.
Por meio dele, o órgão estabelece os critérios e parâmetros para as sanções, bem como as formas de cálculo do valor-base das multas.
Neste guia, você aprenderá tudo sobre a dosimetria das penalidades previstas na lei de proteção de dados pessoais e entenderá porque a ANPD pode aplicar sanções administrativas.
Vamos apontar também os riscos e pontos de atenção para as empresas, a classificação das infrações, as sanções previstas na LGPD e muito mais.
Vamos lá?
O que é a dosimetria das sanções da LGPD?
A dosimetria, de acordo com a resolução, é o método que orienta a aplicação da penalidade mais adequada para cada situação concreta em que existir violação à LGPD e permite calcular o valor da multa, quando for o caso.
Esse método é baseado em critérios e parâmetros definidos pela Autoridade Nacional de Proteção de Dados, que é o órgão responsável por fiscalizar e aplicar as penalidades previstas na lei de proteção de dados pessoais.
Em outras palavras, a ANPD pode aplicar sanções administrativas porque é uma parte de sua competência prevista em lei.
Qual a função da dosimetria?
A dosimetria tem como função principal garantir a efetividade da LGPD e a segurança jurídica dos agentes de tratamento de dados pessoais. Ela nasceu, portanto, para regulamentar os artigos 52 e 53 da lei.
Além disso, ela apresenta também outros objetivos:
- Proporcionar segurança jurídica aos processos fiscalizatórios;
- Garantir o direito ao devido processo legal e ao contraditório;
- Garantir a proporcionalidade entre a sanção aplicada e a gravidade da conduta do agente;
- Aprimorar o processo administrativo sancionador e fiscalizatório para que a ANPD evolua na atividade repressiva, a partir da alteração dos artigos 32, 55 e 62 da Resolução nº 1º CD/ANPD.
Na prática, a dosimetria orienta a ANPD na aplicação das sanções administrativas previstas na lei de proteção de dados, de forma proporcional, razoável e adequada ao caso concreto.
De maneira indireta, ela incentiva os agentes de tratamento a agir em conformidade com a lei, prevenir e reparar os danos aos titulares de dados pessoais e coibir as práticas ilícitas ou abusivas no tratamento de dados pessoais.
O que mudou com a Resolução CD/ANPD Nº 4?
A Resolução CD/ANPD Nº 4, publicada em 27/02/2023, é o normativo que regulamenta a aplicação de sanções administrativas pela ANPD, em atenção ao disposto nos artigos 52 e 53 da Lei Geral de Proteção de Dados Pessoais.
Ela foi elaborada com ampla participação social, por meio de consulta pública e audiência pública, e traz o detalhamento das previsões constantes na Lei Geral de Proteção de Dados Pessoais. Veja:
- Classifica as infrações em leves, médias e graves;
- Mantém as limitações para o valor das multas previstas na lei;
- Define as formas e dosimetrias para o cálculo do valor-base das multas;
- Estabelece os critérios e parâmetros para definir a sanção a ser aplicada em cada caso;
- Prevê as sanções não pecuniárias que podem ser aplicadas pela ANPD, tais como publicização da infração, bloqueio ou eliminação dos dados pessoais, e outras;
- Altera alguns pontos da Resolução ANPD nº 1/2021 (regras do processo de fiscalização e sancionador) que falam sobre o processo em si, como a possibilidade de celebração de compromisso de cessação, a previsão de recurso administrativo etc..
A regulamentação tem como objetivo garantir que a ANPD possa exercer sua competência sancionadora de forma efetiva, transparente, objetiva e consistente.
Isso sem deixar de lado o respeito ao devido processo legal e ao contraditório, e proporcionando segurança jurídica e previsibilidade para os agentes de tratamento de dados pessoais.
Quais são os riscos e pontos de atenção?
A dosimetria LGPD aborda pontos importantes e necessários para dar efetividade à lei de proteção de dados.
No entanto, as empresas devem ficar atentas a certos riscos e pontos de atenção para se adequarem de maneira efetiva. Veja quais são eles:
- Reincidência específica: repetição de infração ao mesmo dispositivo legal ou regulamentar no período de cinco anos, o que gera majoração em 10% no valor da multa para cada caso, limitado a 40%.
- Reincidência genérica: é quando o infrator que já tenha sido penalizado comete outra infração à LGPD no período de cinco anos, o que gera majoração em 5% no valor da multa para cada caso, limitado a 20%.
- Retroatividade (art. 28): as sanções poderão ser aplicadas seguindo a dosimetria para processos administrativos em curso, mesmo que abertos antes da publicação da resolução. Isso pode gerar controvérsias sobre a legalidade e a constitucionalidade dessa medida.
- Judicialização: o regulamento traz termos subjetivos, com conceitos vagos, como “dano relevante”, “larga escala”, “violação de direitos e garantias fundamentais”. Isso pode gerar insegurança jurídica e levar à judicialização para questionamento ou impugnação das decisões da ANPD.
- Grupo econômico: o cálculo das penas poderá incluir o faturamento do grupo econômico (conjunto de empresas que estão sob controle comum ou que atuam de forma integrada) se a infração ocorrer em mais um ramo empresarial ou em processos compartilhados por ramos da organização.
- Larga escala: a resolução aponta que “larga escala” é o tratamento de dados pessoais que envolve um grande número de titulares ou um grande volume de dados pessoais, mas não detalha o que seria “grande”. Ou seja, o conceito não é detalhado pelo volume de dados tratados, e a ANPD julgará caso a caso.
Como são classificadas as infrações?
De acordo com o artigo 8º do regulamento, as infrações são classificadas em leve, média ou grave a depender da gravidade e da natureza das infrações e dos direitos pessoais afetados.
Leve
Infrações leves são aquelas não enquadradas nas categorias médias ou graves.
No cálculo do valor da multa, as infrações leves apresentam alíquotas que variam de 0,08% a 0,15% do faturamento.
Média
São consideradas infrações médias aquelas:
- que afetam significativamente interesses e direitos fundamentais dos titulares dos dados, em situações em que o tratamento impede ou limita de forma relevante a utilização de um serviço ou o exercício de direitos;
- que ocasionam danos materiais ou morais aos titulares, tais como discriminação, fraudes financeiras ou uso indevido de identidade não classificados como grave, violação à reputação, à integridade física e ao direito à imagem.
O cálculo da multa nas infrações médias considera alíquotas que variam de 0,13% e 0,5%.
Grave
As infrações graves podem ser de duas naturezas.
A primeira é aquela que constitui obstrução à atividade de fiscalização.
A segunda é aquela que afeta de maneira relevante os interesses e direitos fundamentais dos titulares, mas com adição de outros elementos, como:
- A infração implica risco à vida dos titulares;
- Tratamento de dados pessoais realizado em larga escala;
- Tratamento com efeitos discriminatórios ilícitos ou abusivos;
- Tratamento de dados pessoais fora das hipóteses previstas na lei de proteção de dados;
- Tratamento de dados sensíveis ou de dados pessoais de crianças, adolescentes ou idosos;
- O infrator aufere ou tem pretensão de auferir vantagem econômica em decorrência da infração cometida.
Nas infrações graves, as alíquotas consideradas no cálculo da multa variam de de 0,45% a 1,5%
Quais são as sanções previstas na LGPD?
As sanções previstas na Lei Geral de Proteção de Dados Pessoais estão listadas no artigo 52. Veja:
- Advertência;
- Multa simples, de até 2% do faturamento da pessoa jurídica, limitada, no total, a R$ 50 milhões por infração;
- Multa diária, observado o limite total de R$ 50 milhões;
- Publicização da infração após apurada e confirmada;
- Bloqueio dos dados pessoais envolvidos na infração até a sua regularização;
- Eliminação dos dados pessoais envolvidos na infração;
- Suspensão parcial do funcionamento do banco de dados envolvido na infração por no máximo de seis meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;
- Suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração por no máximo de seis meses, prorrogável por igual período;
- Proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.
Vamos ver agora como fica a dosimetria LGPD no cálculo de multas?
Como é feito o cálculo de aplicação de multas?
O cálculo de aplicação de multas considera a classificação da infração, o faturamento do infrator (excluídos os tributos), o grau de dano, atenuantes e agravantes.
Na hora da dosimetria da pena de multa, você deverá seguir quatro passos simples:
- Determinar a alíquota-base
- Determinar o valor-base da multa;
- Determinar o valor da multa
- Fazer a adequação aos limites mínimo e máximo da multa.
A fórmula é a seguinte:
Vmulta = Vbase x (1 + Agravantes – Atenuantes).
- Vmulta = valor da multa
- Vbase = valor-base da multa
- Agravantes: soma dos percentuais (em decimal) dos agravantes
- Atenuantes: soma dos percentuais (em decimal) dos atenuantes.
Vamos entender melhor cada um dos aspectos da fórmula.
Alíquota-base
O valor-base da multa, que varia conforme a classificação da infração (leve, média ou grave), conforme explicado no tópico anterior;
A alíquota base depende da classificação da infração em leve, média ou grave. A seguir, temos os limites mínimos e máximos aplicáveis (percentual do faturamento) conforme esta classificação:
- Leve: 0,08% a 0,15%
- Média: 0,13% a 0,5%
- Grave: 0,45% a 1,5%
Faturamento
É o faturamento do infrator no último exercício disponível, excluídos os tributos.
Como apontado anteriormente, é possível incluir o faturamento do grupo econômico:
- se a infração ocorrer em mais um ramo empresarial ou
- se houver violação de dados que sejam fontes para processos de outros ramos da organização,
Grau do dano causado pela infração
Conforme o impacto causado, a capacidade de reversão e o cumprimento dos prazos do processo de sanção da ANPD, a Autoridade classifica o dano de 0 a 3.
Em resumo, seria:
- Grau 0: infração não ocasiona danos ou provoca impacto insignificante aos titulares.
- Grau 1: existe um impacto material ou moral a número reduzido de titulares, que pode ser revertido ou compensado com facilidade; ou há descumprimento de prazos da ANPD sem prejuízo ao processo de sanção e sem litigância de má-fé.
- Grau 2: existe impacto material ou moral a direitos difusos, coletivos ou individuais de forma relevante; ou há descumprimento de prazos da ANPD com prejuízo ao processo de sanção, mas sem litigância de má-fé.
- Grau 3: o impacto material ou moral a direitos difusos, coletivos ou individuais é irreversível ou de difícil reversão; ou há danos decorrentes de má fé.
Fatores atenuantes
Os fatores atenuantes podem diminuir o valor total da multa em até 75%. São eles:
- Cessação da infração (30% a 75%):
- 75% de redução, se cessar antes da instauração de procedimento preparatório pela ANPD;
- 50% de redução, se cessar após a instauração de procedimento preparatório e até a instauração de processo administrativo sancionador;
- 30% de redução, se cessar após a instauração de processo administrativo sancionador e até a decisão do processo administrativo sancionador.
- Boas práticas e mitigação de danos: redução de 20% pela implementação de política de boas práticas ou procedimentos internos de mitigação de danos até a decisão de primeira instância do processo.
- Medidas realizadas: redução de 10 a 20% pela adoção de medidas capazes de mitigar ou reverter os efeitos da infração:
- 20%, se adotadas antes da instauração de procedimento preparatório ou processo sancionador da ANPD; e
- 10%, se adotadas após a instauração de procedimento preparatório e até o processo sancionador.
- Cooperação ou boa fé do infrator: redução de 5%.
Fatores agravantes
Os fatores agravantes são aqueles que aumentam o valor total da multa. Veja:
- 5% para cada caso de reincidência genérica, limitado a 20%;
- 10% para cada caso de reincidência específica, limitado a 40%;
- 20% para cada medida de orientação descumprida no processo de fiscalização ou no procedimento preparatório, limitado a 80%;
- 30% para cada medida corretiva descumprida, limitado a 90%.
Quais os parâmetros para definição das sanções?
Os parâmetros para definição das sanções estão previstos no artigo 7º da norma:
- Grau do dano;
- Boa-fé do infrator;
- Reincidência genérica;
- Reincidência específica;
- Cooperação do infrator;
- Condição econômica do infrator;
- Pronta adoção de medidas corretivas;
- Vantagem auferida ou pretendida pelo infrator;
- Adoção de política de boas práticas e governança;
- Gravidade e natureza das infrações e dos direitos pessoais afetados;
- Proporcionalidade entre a gravidade da falta e a intensidade da sanção;
- Adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados, em consonância com a Lei Geral de Proteção de Dados Pessoais.
FAQ: Dosimetria e LGPD
Qual o parâmetro utilizado para a definição das sanções?
Na definição da sanção, devem ser considerados os parâmetros e critérios estabelecidos no artigo 7º da resolução. Alguns deles são: grau do dano, reincidência genérica ou específica, condição econômica do infrator, dentre outros.
A ANPD pode aplicar sanções administrativas às empresas?
Sim, a ANPD pode aplicar sanções administrativas às empresas que realizam tratamento de dados pessoais e que cometem infrações à LGPD, conforme o artigo 52 da Lei Geral de Proteção de Dados Pessoais.
As sanções podem ser de natureza administrativa, pecuniária ou restritiva de atividades.
Qual o valor máximo da multa?
O valor máximo da multa é de 2% do faturamento (excluídos os tributos) da empresa, grupo ou conglomerado, limitado a R$ 50 milhões por infração.
Qual o valor mínimo da multa?
O apêndice II do regulamento estabelece valores mínimos a serem observados em caso de multa simples de infrator pessoa natural ou pessoa jurídica sem faturamento:
- Infração leve: R$ 1 mil.
- Infração média: R$ 2 mil.
- Infração grave: R$ 4 mil.
Para infratores não enquadrados nesta caracterização, o valor mínimo da multa simples será:
- Infração leve: R$ 3 mil.
- Infração média: R$ 6 mil.
- Infração grave: R$ 12 mil.
Qual o prazo de pagamento da multa?
De acordo com o artigo 17 do regulamento, a multa deve ser paga em até 20 dias úteis a partir da ciência oficial da decisão da ANPD. Os agentes de tratamento de pequeno porte, porém, possuem prazo em dobro.
No caso de multa diária, o prazo é contado da ciência oficial da decisão que apurar o montante devido.
O que é a renúncia ao direito de recorrer?
A renúncia ao direito de recorrer (artigo 18) ocorre quando o infrator opta por não recorrer da decisão de primeira instância, caso em que terá uma redução de 25% no valor da multa aplicada caso ela seja paga dentro do prazo.
O que acontece com o valor das multas?
O valor das multas aplicadas pela ANPD será revertido em favor do Fundo de Defesa de Direitos Difusos (FDD), conforme o artigo 52, § 5º, da LGPD.
O FDD é um fundo destinado à reparação dos danos causados ao meio ambiente, ao consumidor, a bens e direitos de valor artístico, histórico, estético, turístico e paisagístico.
Adeque sua empresa à LGPD com a TOTVS
A adequação à LGPD é um processo que envolve mudanças na cultura organizacional, na gestão de dados e na segurança da informação.
Para auxiliar as empresas nessa jornada, a TOTVS oferece soluções que podem facilitar o cumprimento das normas e dos princípios da lei.
Temos produtos com recursos que permitem a anonimização de dados, a gestão de consentimento, a gestão de incidentes, a gestão de acesso e a auditoria, por exemplo.
Além disso, temos uma equipe especializada em proteção de dados que pode auxiliar os clientes na implementação de um programa de compliance com a Lei Geral de Proteção de Dados Pessoais.
Você sabia que também temos um espaço legislação que reúne informações sobre a LGPD, que vão desde os conceitos básicos e o histórico até os direitos dos titulares de dados, as obrigações dos agentes de tratamento e as sanções administrativas?
Conheça nosso espaço legislação dedicado à LGPD!
Conclusão
A dosimetria LGPD é o método definido pela ANPD para o cálculo e a aplicação das sanções administrativas previstas na lei.
Ela leva em conta uma série de parâmetros e critérios, como grau do dano, cooperação e condição econômica do infrator, adoção de medidas corretivas, dentre outras.
No cálculo das multas, a dosimetria da pena considera a alíquota-base, que varia conforme as infrações leves, médias e graves, o faturamento, o grau do dano e os fatores agravantes e atenuantes.
O objetivo da dosimetria é garantir que as sanções sejam proporcionais, isonômicas, transparentes e efetivas.
Para evitar as penalidades, as empresas devem se adequar à Lei Geral de Proteção de Dados Pessoais e adotar boas práticas de segurança.
Nesse sentido, a TOTVS pode auxiliar as empresas com soluções que facilitam o cumprimento das normas e dos princípios da lei.
Há, inclusive, serviços de consultoria que ajudam sua organização a se adequar à LGPD com mais segurança, agilidade e eficiência, garantindo a proteção dos dados pessoais dos seus clientes, funcionários e parceiros.
Quando o assunto é LGPD, a TOTVS Consulting pode ajudar o seu negócio ao longo desta jornada!
Deixe aqui seu comentário