A resolução CD/ANPD 4/23: a efetividade da regulamentação da proteção de dados a partir da criação de sanções administrativas

A importância da proteção de dados pessoais tem sido cada vez mais reconhecida em todo o mundo, sendo que diversos países têm criado legislações específicas para regulamentar a coleta, uso, armazenamento e compartilhamento dessas informações sensíveis. No Brasil, a Lei Geral de Proteção de Dados (LGPD), em vigor desde 2020, estabeleceu as diretrizes para o tratamento de dados pessoais e previu sanções administrativas em casos de descumprimento de seus termos, sendo certo que, para efetiva aplicação dessas sanções, seria necessária a edição de Regulamento específico tratando das regras de dosimetria.

Dois anos após a LGPD, enfim houve publicação da Resolução CD/ANPD 4, de 24 de fevereiro de 2023, que regulamenta a dosimetria e aplicação de sanções administrativas pela Autoridade Nacional de Proteção de Dados (ANPD). Em primeira análise, é correto afirmar que a Resolução proporciona mais previsibilidade e segurança jurídica para empresas e indivíduos. Mas, na realidade, sua esperada publicação acaba também agindo como incentivo indispensável para a observação da legislação ligada à proteção de dados pessoais, cuja adoção das diretrizes ainda clama, em termos, por efetividade.

Comentamos brevemente sobre seu teor. De acordo com a Resolução CD/ANPD 4/23, as sanções administrativas podem ser aplicadas tanto a empresas quanto a pessoas físicas responsáveis pelo tratamento de dados pessoais. São 9 (nove) sanções administrativas que podem ser aplicadas em caso de infração, incluindo advertência, multa simples, multa diária, publicização da infração, bloqueio e eliminação dos dados pessoais, suspensão parcial ou total do funcionamento do banco de dados, suspensão do exercício da atividade de tratamento de dados e proibição parcial ou total do exercício de atividades relacionadas ao tratamento de dados. O cálculo das sanções de multa é feito com base no faturamento da empresa e pode variar de acordo com a gravidade da infração. A norma estabelece três categorias de infrações: leve, média e grave. As multas leves variam de 0,08% a 0,15% do faturamento, as multas médias variam de 0,13% a 0,5% do faturamento, enquanto as multas graves variam de 0,45% a 1,5% do faturamento.

Frente à dosimetria das sanções de multas, circunstâncias agravantes e atenuantes devem também ser levadas em consideração. As agravantes, em resumo, podem ser ajustadas em situações de reincidência, genérica ou específica, e descumprimento de medidas preventivas ou corretivas recomendadas ou aplicadas ao infrator durante o processo de fiscalização e sancionatório. As atenuantes, por outro lado, observam-se em casos de cessação da infração, variando o percentual de redução da multa de acordo com a fase do processo em que a cessação ocorreu, aplicando-se a mesma lógica aos casos em que houve aplicação pelo infrator de medidas capazes de reverter ou mitigar os danos aos titulares dos dados.

Mas o destaque das atenuantes está na consideração das políticas internas da empresa como circunstância de redução de multa no julgamento dos procedimentos levados pela ANPD. As políticas de boas práticas e governança foram prestigiadas na confecção da norma, de modo que não restam dúvidas sobre a fundamental necessidade de elaboração de práticas e mecanismos internos pelas empresas que manifestem, de fato, a adoção das diretrizes da LGPD em sua operação.

Em suma, seja pela aplicação de multas ou das demais medidas administrativas, hoje podemos densificar as possíveis sanções que os agentes de tratamento de dados arcarão caso não observem a LGPD, com menores dúvidas quanto à perspectiva sobre realmente virem a enfrentar uma penalidade e arcar com as multas previstas em lei. As próprias margens de eventual pecúnia e as situações enquadradoras de cada sanção se tornam mais palpáveis.

A dosimetria da pena é um importante instrumento para garantir a proporcionalidade entre a infração cometida e a sanção aplicada. Isso significa que a gravidade da infração deve ser levada em conta no cálculo da sanção, de modo que a punição seja adequada e proporcional ao dano causado, e em respeito aos parâmetros constitucionais aplicáveis em qualquer procedimento administrativo ou judicial. Além disso, medidas ligadas à garantia de privacidade e segurança dos dados pessoais são requisitos fundamentais para expansão de comércio entre países e consolidação de negócios entre empresas internas ou em que figure em outra ponta empresa do exterior. Nesse sentido, a regulamentação da dosimetria das sanções da LGPD melhora a imagem do país e traz mais previsibilidade aos investidores quando aqui consolidarem, ou almejarem consolidar, atividades e negócios.

Algumas críticas vêm sendo feitas por profissionais do Direito quanto à edição do texto da Resolução, não sem razão, como a certa falta de critérios mais objetivos para definição de infrações leves, médias, ou altas, e conceitos de reincidência genérica e específica, além da necessidade de parâmetros específicos para determinar a volumetria em caso de descumprimentos em larga escala, dentre outras questões que assegurariam a ampla defesa e segurança jurídica na aplicação de sanções. Esses pontos devem ser dirimidos certeiramente pela ANDP nas próximas condenações, sem eximir a necessidade de futura alteração ou complementação da norma.

Ainda assim, entendemos que, no geral, a Resolução CD/ANPD 4/23 representa avanço bastante almejado na legislação da proteção dos dados pessoais no Brasil e na aplicação da LGPD, a ser de extrema relevância que as empresas se familiarizem com essas normas e se adequem a elas para evitar sanções administrativas e para proteger a privacidade dos dados dos seus clientes, sendo certo que referidas sanções também se determinam como ferramenta garantidora da aplicação das leis de proteção de dados e a arbitra a responsabilização concreta daqueles que não as respeitam.