2022-06-30 air reg dosimetria

JULHO/2022 RELATÓRIO DE ANÁLISE DE IMPACTO REGULATÓRIO CONSTRUÇÃO DO MODELO REGULATÓRIO PREVISTO NA LGPD COM RELAÇÃO À APLICAÇÃO DE SANÇÕES ADMINISTRATIVAS E ÀS METODOLOGIAS DE CÁLCULO DO VALOR-BASE DAS SANÇÕES DE MULTA Página 2 de 114 RELATÓRIO DE ANÁLISE DE IMPACTO REGULATÓRIO CONSTRUÇÃO DO MODELO REGULATÓRIO PREVISTO NA LGPD COM RELAÇÃO À APLICAÇÃO DE SANÇÕES ADMINISTRATIVAS E ÀS METODOLOGIAS DE CÁLCULO DO VALOR-BASE DAS SANÇÕES DE MULTA ELABORADO POR: BRUNO DUARTE GARCIA – CGF/ANPD CRISTIANE LANDERDAHL DE ALBUQUERQUE – CGN/ANPD FABRÍCIO GUIMARÃES MADRUGA – CGF/ANPD FERNANDO DE MATTOS MACIEL – CGN/ANPD ISABELA MAIOLINO – CGN/ANPD RODRIGO SANTANA DOS SANTOS – CGN/ANPD SABRINA FERNANDES MACIEL FAVERO – CGN/ANPD Nota: Esse Relatório de Análise de Impacto Regulatório é um instrumento de análise técnica, cujas informações e conclusões são fundamentadas nas análises promovidas pela equipe técnica da ANPD responsável pelo tema. Assim, não reflete necessariamente a posição final e oficial da ANPD, que somente se firma pela decisão de seu Conselho Diretor. Página 3 de 114 SUMÁRIO 1 IDENTIFICAÇÃO DO PROBLEMA REGULATÓRIO……………………………………………………………………………..9 2 TOMADA DE SUBSÍDIOS ……………………………………………………………………………………………………………10 3 IDENTIFICAÇÃO DOS GRUPOS AFETADOS……………………………………………………………………………………11 4 FUNDAMENTAÇÃO LEGAL…………………………………………………………………………………………………………11 5 OBJETIVOS ………………………………………………………………………………………………………………………………12 6 EFEITOS E RISCOS DECORRENTES DA EDIÇÃO DO ATO NORMATIVO………………………………………………13 7 TEMA 1 – MODELO PARA APLICAÇÃO DE SANÇÕES ADMINISTRATIVAS………………………………………….14 7.1 INTRODUÇÃO E PROBLEMA………………………………………………………………………………………………14 7.2 EXPERIÊNCIA NACIONAL E INTERNACIONAL………………………………………………………………………..14 7.3 OPÇÕES REGULATÓRIAS …………………………………………………………………………………………………..15 7.4 IMPACTOS DAS ALTERNATIVAS …………………………………………………………………………………………16 7.5 MODELO ESCOLHIDO E JUSTIFICATIVA……………………………………………………………………………….17 7.6 OPERACIONALIZAÇÃO………………………………………………………………………………………………………17 8 TEMA 2 – PARÂMETROS E CRITÉRIOS DA LGPD……………………………………………………………………………17 8.1 GRAVIDADE E NATUREZA DAS INFRAÇÕES E DOS DIREITOS PESSOAIS AFETADOS……………………17 8.1.1 INTRODUÇÃO E PROBLEMA…………………………………………………………………………………………..17 8.1.2 EXPERIÊNCIA NACIONAL E INTERNACIONAL ……………………………………………………………………18 8.1.3 OPÇÕES REGULATÓRIAS……………………………………………………………………………………………….21 8.1.4 MODELO ESCOLHIDO E JUSTIFICATIVA …………………………………………………………………………..22 8.1.5 OPERACIONALIZAÇÃO ………………………………………………………………………………………………….22 8.2 BOA-FÉ …………………………………………………………………………………………………………………………..24 8.2.1 INTRODUÇÃO E PROBLEMA…………………………………………………………………………………………..24 8.2.2 EXPERIÊNCIA NACIONAL E INTERNACIONAL SOBRE O TEMA……………………………………………..26 8.2.3 OPÇÕES REGULATÓRIAS……………………………………………………………………………………………….28 8.2.4 MODELO ESCOLHIDO E JUSTIFICATIVA …………………………………………………………………………..28 8.2.5 OPERACIONALIZAÇÃO ………………………………………………………………………………………………….29 8.3 VANTAGEM AUFERIDA OU PRETENDIDA…………………………………………………………………………….30 8.3.1 INTRODUÇÃO E PROBLEMA…………………………………………………………………………………………..30 8.3.2 EXPERIÊNCIA NACIONAL E INTERNACIONAL ……………………………………………………………………31 8.3.3 OPÇÕES REGULATÓRIAS……………………………………………………………………………………………….35 8.3.4 MODELO ESCOLHIDO E JUSTIFICATIVA …………………………………………………………………………..37 8.3.5 OPERACIONALIZAÇÃO ………………………………………………………………………………………………….37 Página 4 de 114 8.4 CONDIÇÃO ECONÔMICA DO INFRATOR ……………………………………………………………………………..38 8.4.1 INTRODUÇÃO E PROBLEMA…………………………………………………………………………………………..38 8.4.2 EXPERIÊNCIA NACIONAL E INTERNACIONAL ……………………………………………………………………39 8.4.3 OPÇÕES REGULATÓRIAS……………………………………………………………………………………………….42 8.4.4 MODELO ESCOLHIDO E JUSTIFICATIVA …………………………………………………………………………..43 8.4.5 OPERACIONALIZAÇÃO ………………………………………………………………………………………………….44 8.5 REINCIDÊNCIA …………………………………………………………………………………………………………………45 8.5.1 INTRODUÇÃO E PROBLEMA…………………………………………………………………………………………..45 8.5.2 EXPERIÊNCIA NACIONAL E INTERNACIONAL ……………………………………………………………………45 8.5.3 OPÇÕES REGULATÓRIAS……………………………………………………………………………………………….50 8.5.3.1 Definição …………………………………………………………………………………………………………….50 8.5.3.2 Utilização…………………………………………………………………………………………………………….51 8.5.4 MODELO ESCOLHIDO E JUSTIFICATIVA …………………………………………………………………………..52 8.5.5 OPERACIONALIZAÇÃO ………………………………………………………………………………………………….52 8.6 GRAU DO DANO………………………………………………………………………………………………………………53 8.6.1 INTRODUÇÃO E PROBLEMA…………………………………………………………………………………………..53 8.6.2 EXPERIÊNCIA NACIONAL E INTERNACIONAL ……………………………………………………………………54 8.6.3 OPÇÕES REGULATÓRIAS……………………………………………………………………………………………….55 8.6.4 MODELO ESCOLHIDO E JUSTIFICATIVA …………………………………………………………………………..56 8.6.5 OPERACIONALIZAÇÃO ………………………………………………………………………………………………….56 8.7 COOPERAÇÃO DO INFRATOR…………………………………………………………………………………………….57 8.7.1 INTRODUÇÃO E PROBLEMA…………………………………………………………………………………………..57 8.7.2 EXPERIÊNCIA NACIONAL E INTERNACIONAL ……………………………………………………………………58 8.7.3 OPÇÕES REGULATÓRIAS……………………………………………………………………………………………….60 8.7.4 MODELO ESCOLHIDO E JUSTIFICATIVA …………………………………………………………………………..61 8.7.5 OPERACIONALIZAÇÃO ………………………………………………………………………………………………….62 8.8 MECANISMOS E PROCEDIMENTO DE SEGURANÇA ………………………………………………………………63 8.8.1 INTRODUÇÃO E PROBLEMA…………………………………………………………………………………………..63 8.8.2 EXPERIÊNCIA NACIONAL E INTERNACIONAL ……………………………………………………………………65 8.8.3 OPÇÕES REGULATÓRIAS……………………………………………………………………………………………….65 8.8.4 MODELO ESCOLHIDO E JUSTIFICATIVA …………………………………………………………………………..66 8.8.5 OPERACIONALIZAÇÃO ………………………………………………………………………………………………….66 8.9 ADOÇÃO DE POLÍTICA DE BOAS PRÁTICAS E GOVERNANÇA ………………………………………………….67 8.9.1 INTRODUÇÃO E PROBLEMA…………………………………………………………………………………………..67 8.9.2 EXPERIÊNCIA NACIONAL E INTERNACIONAL ……………………………………………………………………67 Página 5 de 114 8.9.3 OPÇÕES REGULATÓRIAS……………………………………………………………………………………………….69 8.9.4 MODELO ESCOLHIDO E JUSTIFICATIVA …………………………………………………………………………..69 8.9.5 OPERACIONALIZAÇÃO ………………………………………………………………………………………………….70 8.10 ADOÇÃO DE MEDIDAS CORRETIVAS …………………………………………………………………………………..70 8.10.1 INTRODUÇÃO E PROBLEMA ………………………………………………………………………………………70 8.10.2 EXPERIÊNCIA NACIONAL E INTERNACIONAL………………………………………………………………..70 8.10.3 OPÇÕES REGULATÓRIAS……………………………………………………………………………………………74 8.10.4 MODELO ESCOLHIDO E JUSTIFICATIVA ……………………………………………………………………….75 8.10.5 OPERACIONALIZAÇÃO………………………………………………………………………………………………76 8.11 PROPORCIONALIDADE ENTRE A GRAVIDADE DA FALTA E A INTENSIDADE DA SANÇÃO ……………76 8.11.1 INTRODUÇÃO E PROBLEMA ………………………………………………………………………………………76 8.11.2 EXPERIÊNCIA NACIONAL E INTERNACIONAL………………………………………………………………..77 8.11.3 OPÇÕES REGULATÓRIAS……………………………………………………………………………………………79 8.11.4 MODELO ESCOLHIDO E JUSTIFICATIVA ……………………………………………………………………….80 8.11.5 OPERACIONALIZAÇÃO………………………………………………………………………………………………80 9 TEMA 3 – APLICAÇÃO DAS SANÇÕES E METODOLOGIA DE CÁLCULO DO VALOR-BASE DAS SANÇÕES DE MULTA…………………………………………………………………………………………………………………………………………..80 9.1 ADVERTÊNCIA COM INDICAÇÃO DE PRAZO PARA ADOÇÃO DE MEDIDAS CORRETIVAS…………….80 9.1.1 INTRODUÇÃO E PROBLEMA…………………………………………………………………………………………..80 9.1.2 EXPERIÊNCIA NACIONAL E INTERNACIONAL ……………………………………………………………………81 9.1.3 OPERACIONALIZAÇÃO ………………………………………………………………………………………………….85 9.2 MULTA SIMPLES………………………………………………………………………………………………………………85 9.2.1 INTRODUÇÃO E PROBLEMA…………………………………………………………………………………………..85 9.2.2 EXPERIÊNCIA NACIONAL E INTERNACIONAL ……………………………………………………………………87 9.2.3 OPÇÕES REGULATÓRIAS……………………………………………………………………………………………….94 9.2.4 IMPACTOS DAS ALTERNATIVAS ……………………………………………………………………………………..94 9.2.5 MODELO ESCOLHIDO E JUSTIFICATIVA …………………………………………………………………………..95 9.2.6 OPERACIONALIZAÇÃO ………………………………………………………………………………………………….95 9.3 MULTA DIÁRIA ………………………………………………………………………………………………………………101 9.3.1 INTRODUÇÃO E PROBLEMA…………………………………………………………………………………………101 9.3.2 EXPERIÊNCIA NACIONAL E INTERNACIONAL ………………………………………………………………….102 9.3.3 OPÇÕES REGULATÓRIAS……………………………………………………………………………………………..105 9.3.4 MODELO ESCOLHIDO E JUSTIFICATIVA …………………………………………………………………………106 9.3.5 OPERACIONALIZAÇÃO ………………………………………………………………………………………………..106 9.4 PUBLICIZAÇÃO DA INFRAÇÃO………………………………………………………………………………………….107 Página 6 de 114 9.4.1 INTRODUÇÃO E PROBLEMA…………………………………………………………………………………………107 9.4.2 EXPERIÊNCIA NACIONAL E INTERNACIONAL ………………………………………………………………….107 9.4.3 OPERACIONALIZAÇÃO ………………………………………………………………………………………………..108 9.5 BLOQUEIO E ELIMINAÇÃO DOS DADOS PESSOAIS………………………………………………………………108 9.5.1 INTRODUÇÃO E PROBLEMA…………………………………………………………………………………………108 9.5.2 EXPERIÊNCIA NACIONAL E INTERNACIONAL ………………………………………………………………….109 9.5.3 OPERACIONALIZAÇÃO ………………………………………………………………………………………………..109 9.6 SUSPENSÃO PARCIAL DO FUNCIONAMENTO DO BANCO DE DADOS, SUSPENSÃO DO EXERCÍCIO DA ATIVIDADE DE TRATAMENTO DOS DADOS PESSOAIS E PROIBIÇÃO PARCIAL OU TOTAL DO EXERCÍCIO DE ATIVIDADES RELACIONADAS A TRATAMENTO DE DADOS…………………………………………………………..109 9.6.1 INTRODUÇÃO E PROBLEMA…………………………………………………………………………………………109 9.6.2 EXPERIÊNCIA NACIONAL E INTERNACIONAL ………………………………………………………………….110 9.6.3 OPERACIONALIZAÇÃO ………………………………………………………………………………………………..112 10 IMPLEMENTAÇÃO E MONITORAMENTO DO ATO NORMATIVO………………………………………………..113 Página 7 de 114 SUMÁRIO EXECUTIVO Este Relatório de Análise de Impacto Regulatório (AIR) apresenta alternativas regulatórias e seus impactos, visando a regulamentação do art. 53 da Lei nº 13.709, de 14 de agosto de 2018, Lei Geral de Proteção de Dados (LGPD), o qual determina que a Autoridade Nacional de Proteção de Dados (ANPD) definirá, por meio de regulamento próprio sobre sanções administrativas, as metodologias que orientarão o cálculo do valor-base das sanções de multa, devendo ser previamente publicadas, para ciência dos agentes de tratamento, e apresentar objetivamente as formas e dosimetrias para o cálculo do valor-base das sanções de multa, demonstrando a observância dos parâmetros e critérios previstos no art. 52 da lei. Sendo assim, considerando esta determinação legal, a edição de norma regulamentadora é a única opção de intervenção disponível, deixando a juízo da Autoridade a adequação de sua aplicação perante as infrações por ela constatadas. A necessidade da avaliação de alternativas regulatórias para a definição do modelo e da forma a ser utilizada para aplicação das sanções administrativas, bem como para a definição da metodologia de cálculo das sanções de multa, surge do contexto atual de necessidade de determinação legal de regulamentação e da necessidade de sua prévia publicação, para ciência dos agentes de tratamento, para a efetiva aplicação das penalidades dispostas na lei. Nesta AIR são apresentadas as alternativas regulatórias para o modelo normativo a ser adotado para a adoção dos parâmetros e critérios dispostos no §1º do art. 52 da LGPD e para a determinação da metodologia de cálculo das sanções de multa. Foram estudadas as vantagens e desvantagens de cada alternativa, além do impacto da adoção de cada uma delas aos agentes de tratamento e titulares de dados pessoais. Para o modelo normativo a ser adotado, a alternativa escolhida foi a adoção de modelo baseado em valoração, que consiste em determinar a espécie de sanção e o valor das sanções pecuniárias por meio de metodologia pré-definida. Com a adoção desta alternativa regulatória, a ANPD teria maior flexibilidade na aplicação das sanções administrativas, utilizando-se dos parâmetros e critérios arrolados na LGPD na metodologia para dosimetria da sanção a ser aplicada a cada caso concreto, presumindo-se proporcionalidade entre a sanção administrativa e a gravidade da infração. Ainda, para cada um dos parâmetros e critérios elencados no §1º do art. 52 da LGPD, foram analisadas as vantagens e desvantagens de cada uma das alternativas regulatórias. Como resultado, Página 8 de 114 a AIR concluiu que a gravidade e a natureza das infrações e dos direitos pessoais afetados serão consideradas como parâmetros na definição da sanção a ser aplicada em cada caso concreto. Já a boa-fé do infrator, a vantagem auferida ou pretendida pelo infrator, a sua condição econômica, a reincidência, o grau do dano, a cooperação do infrator, a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, a adoção de política de boas práticas e governança e a pronta adoção de medidas corretivas serão considerados como parâmetros. De modo a trazer mais clareza para a metodologia a ser aplicada pela ANPD, entende-se relevante separar que critérios são os requisitos para classificar o tipo de sanção para determinada infração, como por exemplo, advertência, multa, multa diária, dentre outros. Já os parâmetros são requisitos aplicáveis diretamente na dosimetria para a valoração da sanção, como, por exemplo, valor base, atenuantes e agravantes. A AIR analisou as circunstâncias para a aplicação das penalidades previstas na LGPD, em especial as sanções de multa simples e multa diária. Como resultado, considerando o contexto fático de inexperiência na aplicação de sanções pela ANPD e de ausência de dados e informações sobre processos sancionadores da ANPD tendo em vista a recente criação da Autoridade, a definição de uma fórmula matemática única aparece como a opção regulatória mais adequada neste momento, devendo considerar os parâmetros e critérios estabelecidos no art. 52 da LGPD. Assim, para aplicação da sanção administrativa, a ANPD deverá classificar a infração, segundo critérios objetivos e as circunstâncias do caso concreto, como leve, média ou grave, considerando a gravidade e a natureza da infração e dos direitos dos pessoais afetados. Por fim, o que se espera com a AIR é dar publicidade aos agentes de tratamento quanto as regras e procedimentos a serem utilizados na definição e aplicação das sanções administrativas, trazendo maior segurança jurídica na relação com os agentes regulados, além de trazer benefícios para os titulares de dados pessoais na medida em que a proposta normativa visa conduzir o agente regulado à conformidade à lei, os regulamentos e aos deveres decorrentes dos demais atos administrativos de efeitos concretos expedidos pela Autoridade. Página 9 de 114 1 IDENTIFICAÇÃO DO PROBLEMA REGULATÓRIO1 A LGPD, em seu art. 52, estabelece que os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas na Lei, ficam sujeitos às sanções administrativas aplicáveis pela ANPD, sendo elas: (i) advertência, com indicação de prazo para adoção de medidas corretivas; (ii) multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração; (iii) multa diária, observado o limite total de R$ 50.000.000,00 (cinquenta milhões de reais) por infração; (iv) publicização da infração após devidamente apurada e confirmada a sua ocorrência; (v) bloqueio dos dados pessoais a que se refere a infração até a sua regularização; (vi) eliminação dos dados pessoais a que se refere a infração; (vii) suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador; (viii) suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período; e (ix) proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados. Ainda, a LGDP dispõe que a ANPD definirá, por meio de regulamento próprio sobre sanções administrativas, as circunstâncias e as condições para a adoção de multa simples ou diária e as metodologias que orientarão o cálculo do valor-base das sanções de multa, as quais devem apresentar objetivamente as formas e dosimetrias para o cálculo do valor-base das sanções de multa. Sendo assim, em vista da determinação legal, a edição de norma regulamentadora é a única opção de intervenção disponível. Todavia, em que pese a Lei ter enumerado os tipos de sanções aplicáveis, deixou a juízo da Autoridade a adequação de sua aplicação perante as infrações por ela constatadas, desde que considerados os parâmetros e critérios trazidos no §1º do art. 52. Cabe, portanto, no escopo da regulamentação, a avaliação de alternativas de intervenção para a definição 1 O presente Relatório de Análise de Impacto Regulatório contou com as contribuições de Artur Coimbra de Oliveira e Felipe Ricardo da Costa Freitas, ambos ex-servidores da ANPD. Página 10 de 114 do modelo e da forma a ser utilizada para aplicação das sanções administrativas, bem como para a definição da metodologia de cálculo das sanções de multa. 2 TOMADA DE SUBSÍDIOS Para a tomada de subsídios foram realizadas pesquisas sobre o modelo de dosimetria de sanção em diversas autoridades regulatórias nacionais e alguns de seus respectivos regulamentos, quais sejam: (i) Agência Nacional de Transportes Aquaviários (ANTAQ) e a Resolução Normativa nº 6, de 17 de maio de 2016 (Resolução nº 6/2016); (ii) Agência Nacional de Aviação Civil (Anac) e a Resolução nº 472, de 6 de junho de 2018 (Resolução nº 472/2018); (iii) Câmara de Regulação do Mercado de Medicamentos (CMED) e a Resolução nº 2, de 16 de abril de 2018 (Resolução nº 2/2018); (iv) Agência Nacional de Energia Elétrica (Aneel) e a Resolução Normativa nº 846, de 11 de junho de 2019 (RN nº 846/2019); (v) Agência Nacional do Cinema (Ancine) e a Instrução Normativa nº 109, de 19 de dezembro de 2012 (Instrução Normativa nº 109/2012); (vi) Agência Nacional de Telecomunicações (Anatel) e a Resolução nº 589, de 7 de maio de 2012 (RASA); (vii) Comissão de Valores Mobiliários (CVM) e a Instrução nº 607, de 17 de junho de 2019 (Instrução nº 607/2019) (viii) Agência Nacional de Saúde Suplementar (ANS) e a Resolução Normativa – RN nº 489, de 29 de março de 2022 (RN Nº 489/2022); (ix) Agência Nacional de Transportes Terrestres (ANTT) e a Resolução nº 233, de 25 de junho de 2003 (Resolução nº 233/2003); e (x) Conselho Administrativo de Defesa Econômica (Cade) e a Lei nº 12.529, de 30 de novembro de 2011. Também foram realizadas pesquisas sobre as seguintes autoridades internacionais e seus normativos: União Europeia2 , Reino Unido (Information Commissioner’s Office – ICO) 3 , Califórnia – 2 UNIÃO EUROPEIA. General Data Protection Regulation. Disponível em: https://gdprinfo.eu/ Acesso em: 28 set. 2021 3 INFORMATION COMMISSIONER’S OFFICE. Data Protection Act 2018. Reino Unido. Disponível em: https://www.legislation.gov.uk/ukpga/2018/12/contents/enacted Acesso em: 28 set. 2021. Página 11 de 114 Estados Unidos4 , França (Commission Nationale de Informatique et des Libertés – CNIL) e Austrália (Office of the Australian Information Commissioner – OAIC) 5 . Além disso, a Equipe de Projeto realizou, ao longo da instrução processual e estudo do tema, reuniões com a CVM (SEI nº 2499666 e SEI nº 2870308) e a Anatel (SEI nº 2499668). 3 IDENTIFICAÇÃO DOS GRUPOS AFETADOS A transversalidade da LGPD alcança todas as operações de tratamento de dados, independentemente do meio adotado, do país sede do agente de tratamento, ou do país em que estejam localizados os dados, nos termos do artigo 3º da Lei. A norma de aplicação de sanção ora avaliada poderá afetar, portanto, toda e qualquer empresa que realize operações de tratamento envolvendo dados pessoais, bem como os titulares desses dados. Nesse sentido, a fiscalização de cumprimento da LGPD pela ANPD e, consequentemente, a norma de dosimetria, alcança muitos interessados. A seguir, os principais grupos identificados como impactados diretamente pela proposta normativa: i) agentes de tratamento de dados; e ii) os titulares de dados pessoais. Os agentes de tratamento serão afetados pela norma a ser editada na medida em que serão fiscalizados e, em caso de identificação de infração, sancionados. Os titulares de dados também são impactados pela proposta normativa tendo em vista que a imposição de sanções visa punir e dissuadir infrações que afetem interesses e direitos fundamentais dos titulares de dados pessoais. 4 FUNDAMENTAÇÃO LEGAL O direito à proteção de dados pessoais consta expressamente no rol de direitos e garantias fundamentais ao cidadão estabelecidos no art. 5º da Constituição da República Federativa do Brasil de 1988. Ainda, a Carta Magna fixou, em seu art. 21, a competência da União em organizar e fiscalizar a proteção e o tratamento de dados pessoais, nos termos da lei, bem como a competência privativa para legislar sobre proteção e tratamento de dados pessoais. 4 ESTADOS UNIDOS. California Consumer Privacy Act of 2018. Califórnia, CA. Disponível em: https://leginfo.legislature.ca.gov/faces/codes_displayText.xhtml?division=3.&part=4.&lawCode=CIV&title=1.81.5 Acesso em 28 set. 2021. 5 OFFICE OF THE AUSTRALIAN INFORMATION COMMISSIONER. Civil penalties:serious or repeated interference with privacy and other penalty provisions. Austrália. Disponível em: https://www.oaic.gov.au/about-us/our-regulatory-approach/guide-to-privacyregulatory-action/chapter-6-civil-penalties/ Acesso em 28 set. 2021. Página 12 de 114 A LGPD inaugurou um novo regime jurídico referente ao tratamento de dados pessoais no país, conferindo prerrogativas à ANPD para zelar, implementar e fiscalizar o cumprimento da lei em todo o território nacional. Desta forma, a ANPD é o órgão federal responsável por dar efetividade à LGPD no País. Dentre as competências da ANPD, consta o estabelecimento de normas e diretrizes para a interpretação e implementação da LGPD. Para além da competência normativa, a LGDP também atribuiu à ANPD a competência fiscalizatória e sancionatória em matéria de tratamento de dados pessoais, prevalecendo, no que se refere à proteção de dados pessoais, sobre as competências correlatas de outras entidades ou órgãos da administração pública, mediante processo administrativo que assegure o contraditório, a ampla defesa e o direito ao recurso. No entanto, o exercício da competência sancionatória depende de prévia normatização, por meio de regulamento próprio sobre as sanções administrativas, as circunstâncias e as condições para a adoção de multa simples ou diária e as metodologias que orientarão o cálculo do valor-base das sanções de multa, as quais devem apresentar objetivamente as formas e dosimetrias para o cálculo do valor-base das sanções de multa, conforme disposto nos arts. 52 e 53 da LGPD. 5 OBJETIVOS À luz do que foi avaliado no AIR que resultou na Resolução CD/ANPD nº 1, de 28 de outubro de 2021, que aprovou o Regulamento do Processo de Fiscalização e do Processo Administrativo Sancionador no âmbito da ANPD (Processo SEI nº 00261.000089/2021-76), além do cumprimento de uma determinação legal, a edição de um regulamento de aplicação de sanções tem por objetivo construir um modelo de aplicação de sanções que: (i) induza o comportamento adequado conforme a LGPD, recompensando os regulados virtuosos, ou seja, aqueles que cumprem a regulação, oferecendo orientação e promovendo a conscientização, e crie espaços para construção de soluções negociais e atingimento da plena conformidade; (ii) veja o processo completo de constrangimento regulatório da ANPD, capaz de lidar com as mais diversas informações, sejam elas entregues pela sociedade ou captadas pela ANPD; (iii) dê à ANPD um espaço flexível e amplamente transparente para o emprego ágil de meios e ferramentas, sempre vinculados ao escopo de sua atuação; e (iv) seja capaz de fornecer segurança jurídica aos administrados, dando previsibilidade de sua atuação, amparada em um processo administrativo que assegure o contraditório, a ampla defesa e o direito de recurso. Página 13 de 114 A presente proposta normativa visa complementar o Regulamento do Processo de Fiscalização e do Processo Administrativo Sancionador no âmbito da ANPD, estabelecendo regras claras, em especial os parâmetros e critérios, para a aplicação de sanções administrativas, quando as atividades de monitoramento e prevenção não se mostrarem suficientes para incentivar os agentes de tratamento a agir em conformidade com a LGPD. Ao mesmo tempo, busca-se prevenir problemastais como a reincidência do cometimento de infrações pelo agente regulado e a ausência de normativo com diretrizes mínimas para escalonamento e aplicação de sanções administrativas. Assim, a ANPD busca, por meio da edição de norma de aplicação de sanções, promover a eficácia da LGPD por meio da fixação de metodologia para a aplicação das sanções previstas de modo que confira segurança jurídica tanto para regulados quanto para reguladores, bem como garanta que as decisões de natureza sancionatória adotadas pela ANPD sejam efetivas, isonômicas, transparentes, objetivas e consistentes. 6 EFEITOS E RISCOS DECORRENTES DA EDIÇÃO DO ATO NORMATIVO Em decorrência da edição do ato normativo, espera-se conformidade dos agentes de tratamento com a LGPD e com os regulamentos expedidos pela ANPD, bem como busca-se assegurar a proteção dos direitos dos titulares de dados pessoais previstos na referida lei. No entanto, da edição do ato normativo tem-se o risco de a proposta de dosimetria da sanção de multa eventualmente não ser tão assertiva quanto à proporcionalidade e à razoabilidade, uma vez que a ANPD não possui dados e informações históricas provenientes de processos administrativos sancionadores, tendo em vista a sua recente criação e publicação de normativo referente ao Regulamento do Processo de Fiscalização e do Processo Administrativo Sancionador no âmbito da ANPD ter sido feita há menos de um ano da publicação do presente relatório de AIR. Isso pode acontecer em casos particulares, devido aos limites estabelecidos na lei, em especial ao limite máximo de 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, nos termos no inciso II do art. 52 da LGPD. No entanto, cabe reconhecer que esse eventual risco decorre do texto da LGPD em si e não necessariamente advém da edição de ato normativo pela ANPD. Com isso, é possível que a ANPD precise reavaliar dispositivos do futuro regulamento sobre sanções administrativas, a partir da futura experiência da Autoridade com a aplicação da referida norma. Página 14 de 114 7 TEMA 1 – MODELO PARA APLICAÇÃO DE SANÇÕES ADMINISTRATIVAS 7.1 INTRODUÇÃO E PROBLEMA A LGPD estabelece que a ANPD definirá, por meio de regulamento próprio sobre sanções administrativas a infrações à Lei, as metodologias que orientarão o cálculo do valor-base das sanções de multa, a serem previamente publicadas para ciência dos agentes de tratamento, e a fundamentação detalhada de todos os seus elementos, demonstrando a observância dos critérios previstos na Lei. Em que pese a Lei ter enumerado os tipos de sanções aplicáveis, deixou a critério da Autoridade a adequação de sua aplicação perante as infrações por ela constatadas, desde que considerados os parâmetros e critérios trazidos no §1º do art. 52. Sendo assim, cabe à ANPD a definição do modelo a ser utilizado para aplicação das sanções administrativas, sendo este o principal problema a ser solucionado. 7.2 EXPERIÊNCIA NACIONAL E INTERNACIONAL Relativamente a experiências nacionais sobre o modelo de aplicação de sanções administrativas, cabe esclarecer que foram identificados dois modelos em diferentes órgãos da administração pública: (i) baseado por tipos; e (ii) baseado em valoração. A tipificação consiste em definir no arcabouço normativo as sanções passíveis de serem aplicadas para cada tipo infracional, sendo mais descritivo. O modelo baseado em valoração traduzse na escolha do tipo de sanção e na sua quantificação aplicada com base em metodologia prédefinida. No Brasil, órgãos como a Anatel e a CVM adotam o modelo de valoração, enquanto a ANTAQ, a Anac, a Ancine, a ANS e a ANTT adotam o modelo baseado por tipos. Sobre as experiências internacionais, França (CNIL), Reino Unido (ICO) e Austrália (OAIC) adotam modelo em que é definido valor máximo e mínimo de aplicação das multas, dependendo da gradação da infração, e definem critérios para valorar a multa aplicada. Já o estado da Califórnia, Estados Unidos, adota modelo em que será cobrada uma multa administrativa não maior que dois mil e quinhentos dólares ($ 2.500) para cada violação, ou, ainda, sete mil e quinhentos dólares ($ 7.500) para cada violação intencional ou violações envolvendo as informações pessoais de consumidores menores de 16 anos de idade. Por fim, a autoridade portuguesa (CNPD) estabelece um rol de condutas que são consideradas graves e muito graves e o valor máximo e mínimo da multa, considerando a gravidade e o porte do infrator. Página 15 de 114 7.3 OPÇÕES REGULATÓRIAS Para solucionar o problema suscitado, vislumbraram-se 2 (duas) alternativas para os modelos: (i) baseado em valoração; e (ii) baseado em tipos. Alternativa A – Modelo baseado em valoração A primeira alternativa seria a adoção do modelo de valoração, que consiste em determinar a sanção e o valor das sanções pecuniárias por meio de metodologia pré-definida. Assim, para cada caso específico, seriam avaliados as circunstâncias e os parâmetros da lei para se chegar à sanção e o valor da multa, quando for o caso. Nessa opção, a ANPD teria maior flexibilidade na aplicação das sanções administrativas, utilizando-se dos parâmetros e critérios arrolados na LGPD na metodologia para dosimetria da sanção a ser aplicada a cada caso concreto. Assim, presume-se que a sanção administrativa seria mais proporcional ao dano ou à conduta do infrator, ou até mesmo ao porte da empresa e gravidade. A não normatização do tipo de sanção a ser aplicada ao infrator em decorrência de uma conduta infrativa possibilita maior leque de opções à ANPD quando da aplicação das sanções, bem como evita a necessidade de normatizar o sancionamento para cada nova conduta regulamentada. No entanto, a metodologia, por não ser trivial, traz uma margem de dificuldade para sua definição, maior esforço argumentativo para a ANPD e, desta forma, maior tensão e questionamentos direcionados ao instrumento de dosimetria. Ainda, o modelo pode trazer a necessidade de desenvolver diferentes equações de valoração para tipos infracionais diferentes. Alternativa B – Modelo baseado em tipos Já a segunda opção regulatória seria o modelo baseado em tipos de condutas. Nesse modelo, a ANPD listaria cada infração possível e a multa correspondente. Por ser totalmente descritivo, uma vez que já define a penalidade a ser aplicada, ele traz maior segurança jurídica quando da aplicação da sanção administrativa, tendo um viés mais vinculativo e, portanto, menos discricionário. Assim, traduz-se em menor esforço argumentativo para a ANPD e ao mesmo tempo uma maior previsibilidade para o regulado, uma vez que o arcabouço normativo define as condutas passíveis de aplicação de penalidades, facilitando a observância pelo agente regulado. Para tanto, faz-se necessário elencar todas as infrações e todas as penalidades a serem aplicadas, havendo necessidade de atualização da regulamentação a partir da imposição de novas regras. Ainda, a definição das sanções no normativo pode guiar a conduta do agente regulado, uma vez que este poderá optar pelo sancionamento quando for a sanção for menos onerosa do que o Página 16 de 114 cumprimento da obrigação regulamentar. O modelo só alcança condutas posteriores à tipificação normativa e aquelas não tipificadas não seriam passíveis de sancionamento. 7.4 IMPACTOS DAS ALTERNATIVAS Conforme já colocado na seção anterior, ambas as alternativas possuem vantagens e desvantagens. O quadro a seguir sistematiza as principais características das duas opções. Tabela 1 – Avaliação das alternativas regulatórias Critério Alternativa A – Modelo baseado em valoração Alternativa B – Modelo baseado em tipos Flexibilidade Mais flexível, pois as infrações não são pré-definidas. Assim, a metodologia de aplicação de sanção pode se amoldar a cada nova conduta Menos flexível, pois as condutas devem ser estabelecidas de antemão. Assim, deve-se mudar o regulamento a cada nova conduta identificada Proporcionalidade Tende a ser mais proporcional, considerando que cada infração receberá uma sanção específica de acordo com suas especificidades, os parâmetros dispostos na LGPD e a metodologia desenvolvida Tende a ser menos proporcional, já que infrações idênticas, mas em contextos diferentes, receberão a mesma sanção Previsibilidade Menos previsível, já que a metodologia deixa margem para flexibilidade. Porém, pode ser tornar mais previsível com a formação de jurisprudência Bastante previsível, pois cada infração terá a sanção correspondente já estabelecida Facilidade de construção Complexa, já que se deve estabelecer uma metodologia que considere todos os parâmetros estabelecidos na LGPD e que seja aplicável a diferentes agentes, infrações e contextos Complexa, já que se deve prever todas as infrações possíveis e calcular uma sanção para cada uma Facilidade de Aplicação Pode ser mais complexa a depender do contexto e da metodologia desenvolvida Relativamente menos complexa, pois as infrações e suas respectivas sanções já são pré-estabelecidas Fonte: Elaboração pela equipe da Coordenação-Geral de Normatização Página 17 de 114 7.5 MODELO ESCOLHIDO E JUSTIFICATIVA Em que pese a Alternativa B trazer uma maior segurança jurídica na medida em que os normativos já definiriam os tipos de penalidades a serem aplicadas para cada tipo infracional, a falta de flexibilidade pode traduzir-se em desproporcionalidade e em ausência de isonomia na aplicação das sanções administrativas. Assim, com a adoção da Alternativa A, na definição da penalidade, a ANPD poderá utilizar parâmetros e critérios para cada caso concreto, refletindo-se em uma maior proporcionalidade entre a gravidade da falta e a intensidade da sanção. 7.6 OPERACIONALIZAÇÃO Para fins de operacionalização do modelo escolhido, faz-se necessária a definição e a apresentação objetiva de uma metodologia com fundamentação detalhada de todos os seus elementos e observância a todos os critérios trazidos pela LGPD, que orientará a aplicação das sanções administrativas, com a finalidade de se trazer maior segurança jurídica, a ser instrumentalizada por meio de regulamento próprio, que deverá ser objeto de consulta pública. 8 TEMA 2 – PARÂMETROS E CRITÉRIOS DA LGPD 8.1 GRAVIDADE E NATUREZA DAS INFRAÇÕES E DOS DIREITOS PESSOAIS AFETADOS 8.1.1 INTRODUÇÃO E PROBLEMA O art. 52, §1º, da LGPD define parâmetros e critérios para a aplicação de sanção aos agentes de tratamento de dados em razão das infrações cometidas contra as normas e a LGPD. Dentre os critérios e os parâmetros listados no referido artigo, destaca-se a gravidade e a natureza das infrações e dos direitos pessoais afetados, descritos no inciso I do citado artigo. A gravidade da infração consiste em avaliar a magnitude da violação do agente de tratamento ao instrumento normativo ou legal, considerando o possível impacto ao titular de dados pessoais. Já para a natureza da infração existem diversas abordagens nas experiências nacionais e internacionais, mas pode-se adotar um modelo baseado na classificação da infração, como, dentre outros, violação ao direito do titular, liberdades civis e direitos fundamentais (art. 8º, §5º, art. 9º, Capítulo III); violação ao tratamento de dados pessoais, inclusive em relação à base legal e às obrigações de agentes de tratamento (Capítulo II e VI); e violação contra as competências da ANPD. Página 18 de 114 A gravidade dos direitos pessoais afetados refere-se ao impacto da infração causada ao titular de dados, considerando, por exemplo, o tipo de dados tratado, a vulnerabilidade dos titulares, a finalidade do tratamento dos dados, bem como o acesso não autorizado aos dados. Quanto à natureza dos direitos pessoais afetados,sugere-se classificar o impacto da infração causado aos direitos do titular de dados pessoais por meio do dano causado pela irregularidade. Sob o aspecto legal, esse dispositivo pode ser entendido de forma consolidada, ou seja, aplica-se o critério de gravidade e natureza das infrações e dos direitos pessoais afetados para classificar a magnitude do impacto das infrações aos dispositivos normativos e aos titulares de dados. Nesse contexto, o problema a ser solucionado neste subtema é, diante do poder dever de aplicação de sanção pela ANPD conforme disposição na LGPD, como este parâmetro ou critério deve ser utilizado na dosimetria da sanção. 8.1.2 EXPERIÊNCIA NACIONAL E INTERNACIONAL Quanto à experiência nacional, a Ancine classifica a gravidade da infração em leve, grave e gravíssima, nos seguintes termos da Instrução Normativa nº 109/2012: Art. 18. As infrações previstas nos artigos 22, 22-A, 23, 24-A e 25 classificamse em: I – leves, aquelas em que o infrator seja beneficiado por circunstância atenuante; II – graves, aquelas em que seja verificada uma circunstância agravante; e III – gravíssimas, aquelas em que seja verificada a existência de duas ou mais circunstâncias agravantes. § 1º Em caso de cumulação de circunstâncias agravantes e atenuantes, haverá a compensação de umas com as outras, sendo a infração classificada quanto à gravidade conforme o saldo desta operação. [grifo nosso] Já a Anatel, no RASA, classificou a gradação das infrações em leve, média e grave segundo sua natureza e gravidade, nos seguintes termos: Art. 9º As infrações são classificadas, segundo sua natureza e gravidade, em: I – leve; II – média; e III – grave. [grifo nosso] A ANTAQ, na Resolução nº 3259, alterada pela Resolução normativa nº 6, classifica a natureza das infrações em leve, média, grave e gravíssima e utiliza a gradação para enquadrar o tipo de sanção, conforme segue: Página 19 de 114 Art. 35. Na ausência de definição quanto à natureza da infração administrativa no âmbito da regulamentação específica da ANTAQ, será observada a seguinte classificação para fins de aplicação desta Resolução: I – Natureza leve: a infração administrativa que preveja a cominação de multa de até R$ 150.000,00 (cento e cinquenta mil reais); II – Natureza média: a infração administrativa que preveja a cominação de multa acima de R$ 150.000,00 (cento e cinquenta mil reais) e até R$ 300.000,00 (trezentos mil reais); III – Natureza grave: a infração punível que preveja a cominação de multa acima de R$ 300.000,00 (trezentos mil reais) e até R$ 600.000,00 (seiscentos mil reais); e IV – Natureza gravíssima: a infração que preveja a cominação de multa acima de R$ 600.000,00 (seiscentos mil reais). (…) Art. 52 . A gravidade da infração administrativa será aferida pelas circunstâncias agravantes e atenuantes previstas neste artigo, cuja incidência pode ser cumulativa, sem prejuízo de outras circunstâncias que venham a ser identificadas no processo. (…) Art. 54 . A sanção de advertência poderá ser aplicada apenas para as infrações de natureza leve e média, quando não se julgar recomendável a cominação de multa e desde que não verificado prejuízo à prestação do serviço, aos usuários, ao mercado, ao meio ambiente ou ao patrimônio público. (…) Art. 57 . Sem prejuízo da cominação de multa, a sanção de suspensão, limitada a cento e oitenta dias, será aplicável a infrações de natureza grave e gravíssima, quando as circunstâncias não justificarem a cassação, quando a infração for: (…) Art. 58 . A sanção de cassação é aplicável em face de infração de natureza grave e gravíssima, sem prejuízo da cominação de multa, e que implique: I – reiterada reincidência específica de infração de natureza grave ou gravíssima; [grifo nosso] Já as agências Anac, Aneel, ANS e ANTT não utilizam método de classificação da gradação da infração, mas utilizam os conceitos de gravidade, conforme segue. A Anac, na Resolução nº 472, de 6 de junho de 2018 define que: Art. 35. As sanções de suspensão ou cassação, nas hipóteses previstas na Lei nº 7.565, de 19 de dezembro de 1986, e na legislação complementar, com ou sem cumulação de sanção pecuniária, serão aplicadas pela primeira instância, salvo nos casos de suspensão e cassação de outorgas concedidas diretamente pela Diretoria, que serão recomendadas pela primeira instância e aplicadas pela Diretoria. Página 20 de 114 (…) § 2º Na aplicação de sanção de suspensão ou cassação será considerada a gravidade dos fatos apurados, observando-se as normas específicas ou as seguintes situações: [grifo nosso] Por sua vez, a Aneel na RN nº 846/2019 prevê que: Art. 22. Na fixação do valor das multas serão consideradas a abrangência, a gravidade, os danos resultantes para o serviço e para os usuários, a vantagem auferida e as circunstâncias agravantes e atenuantes da infração. § 1º A multa será calculada a partir do seu valor base, ao qual serão acrescidos os percentuais de agravantes, sendo posteriormente reduzidos os percentuais de atenuantes. § 2º No cálculo do valor base da multa, devem ser considerados, para fins de aferição da abrangência da infração e da gradação da sua gravidade, entre outros, a proporcionalidade entre a gravidade da infração e a intensidade da penalidade, podendo ser adotados pisos e tetos. § 3º A abrangência e a gravidade da infração poderão ser graduadas em níveis, conforme a área de competência e o objeto da ação fiscalizadora.

[grifo nosso]

Já a ANS, nos termos da RN nº 489/2022, prevê a consideração da gravidade e das consequências do caso: Art. 3º A ANS aplicará as penalidades descritas nesta Resolução, de forma isolada ou cumulativamente, considerando a gravidade, as consequências do caso e o porte econômico das operadoras. [grifo nosso] A Resolução nº 233/2003 da ANTT possui previsão em sentido semelhante: Art. 4º Nos casos em que houver previsão legal para aplicação da pena de suspensão, cassação, decretação de caducidade da outorga ou declaração de inidoneidade, a Diretoria da ANTT poderá, alternativamente, aplicar a pena de multa, considerando a natureza e a gravidade da infração, os danos dela resultantes para o serviço e para os usuários, a vantagem auferida pelo infrator, as circunstâncias agravantes e atenuantes, os antecedentes do infrator e a reincidência genérica ou específica. [grifo nosso] Por fim, a CVM na Instrução CVM nº 607/2019 não faz a classificação da gradação da infração, mas define uma série de parâmetros que devem ser avaliados na relevância da conduta ou da expressividade da ameaça ou lesão ao bem jurídico para a dosimetria da sanção. Página 21 de 114 Nas experiências internacionais, o Reino Unido6 define a gradação da infração em baixa, média, alta e muito alta. Além disso, utiliza o modelo em que a gravidade e a natureza são critérios para definir a gradação da infração. A União Europeia7 utiliza o critério de gravidade e natureza no cálculo da compensação quando ocorre um dano ao titular de dados. Considera-se para este cálculo o impacto, que inclui quantos titulares de dados foram afetados e quais foram os danos. Finalmente, considera-se o tempo para resolução da irregularidade identificada. 8.1.3 OPÇÕES REGULATÓRIAS As opções regulatórias para definir como manejar a gravidade e natureza da infração e dos direitos pessoais afetados estão relacionadas aos conceitos de critério e parâmetro. A LGPD utiliza os termos parâmetros e critérios no §1º, art. 52, quando especifica todos os fatores que devem ser utilizados na sanção de acordo com o caso concreto. De modo a trazer maior clareza para a metodologia a ser aplicada pela ANPD, entende-se relevante definir, a princípio, que critérios são os requisitos para classificar o tipo de sanção para determinada infração, como por exemplo, advertência, multa, multa diária, dentre outros. Já parâmetros são requisitos aplicáveis diretamente na dosimetria para a valoração da sanção, como, por exemplo, valor base, atenuantes e agravantes. A seguir são apresentadas as opções regulatórias consideradas para este subtema. Alternativa A – Adoção de gravidade e natureza da infração e dos direitos pessoais afetados como critérios no cálculo da sanção A primeira alternativa refere-se a uma abordagem em que a gravidade e a natureza da infração e dos direitos pessoais afetados são utilizadas para identificar o tipo de sanção, tendo em vista que são requisitos estruturantes e impactam fortemente a privacidade e proteção de dados. A avaliação da gravidade e natureza da infração poderá resultar em uma gradação da infração, como por exemplo, leve, média e grave. Alternativa B – Adoção de gravidade e natureza da infração e dos direitos pessoais afetados como parâmetros no cálculo da sanção 6 INFORMATION COMMISSIONER’S OFFICE. Statutory guidance on our regulatory action. Reino Unido. Disponível em: https://ico.org.uk/media/about-the-ico/consultations/2618333/ico-draft-statutory-guidance.pdf Acesso em: 23 set. 2021. 7 UNIÃO EUROPÉIA. GDPR Fines & Data Breach Penalties. Disponível em: https://www.gdpreu.org/compliance/fines-and-penalties/ Acesso em: 23 set. 2021. Página 22 de 114 A segunda alternativa representa uma abordagem em que a gravidade e a natureza da infração e dos direitos pessoais afetados são utilizadas como parâmetros para o cálculo da sanção. Nesta alternativa utiliza-se estes requisitos para valorar a sanção, independentemente do enquadramento do tipo e da gradação da infração. Finalmente, cabe destacar que nas duas alternativas pode-se utilizar um critério de avaliação da infração baseado no conceito de riscos e impacto ao titular de dados para identificar o tipo e a gradação da infração. 8.1.4 MODELO ESCOLHIDO E JUSTIFICATIVA Diante da análise realizada, sugere-se a Alternativa A – adoção de gravidade e natureza da infração e dos direitos pessoais afetados como critérios no cálculo da sanção – tendo em vista que estes requisitos são relevantes na definição da gradação da sanção, levando em conta a avaliação do impacto da infração ao ordenamento jurídico relacionado à proteção de dados e ao direito fundamental de privacidade dos titulares. Corroborando esta proposta, a União Europeia inclui no conceito de gravidade e natureza da infração o impacto causado ao titular, ou seja, o impacto ao titular de dados, incluindo o número de dados pessoais afetados e a implicação no titular.8 8.1.5 OPERACIONALIZAÇÃO Inicialmente, cabe ressaltar que, conforme já mencionado, demonstra ser interessante utilizar uma metodologia baseada no conceito de riscos para avaliar a infração, tendo em vista a oportunidade de mensuração do impacto que a infração causou aos titulares de dados. É nesse sentido que orienta o guia da Organização para Cooperação e Desenvolvimento Econômico (OCDE) 9 quando explica que uma atuação estratégica deve considerar os riscos envolvidos, seja para identificar as ferramentas mais adequadas para cada demanda, seja para regimes de sanções proporcionais: Todas as atividades de constrangimento [regulatório] devem considerar uma análise de riscos. Cada atividade e negócio devem ter seu nível de risco avaliado. Recursos de constrangimento [regulatório] devem ser alocados com base nessa análise. A cada conjunto de regulação, do mesmo modo, 8 UNIÃO EUROPÉIA. GDPR Fines & Data Breach Penalties. Disponível em: https://www.gdpreu.org/compliance/fines-andpenalties/#How_are_GDPR_Fines_Calculated Acesso em 27 set. 2021. 9 ORGANIZAÇÃO PARA A COOPERAÇÃO E DESENVOLVIMENTO ECONÔMICO. Regulatory Enforcement and Inspections, OECD Best Practice Principles for Regulatory Policy. Disponível em: http://dx.doi.org/10.1787/9789264208117-en . Acesso em 28 set. 2021. Página 23 de 114 deve ser dado um nível de prioridade proporcional aos riscos que tentam endereçar. Risco aqui deveria ser entendido como uma combinação da probabilidade de um evento adverso (perigo, dano) acontecer com a potencial magnitude do dano causado (combinando número de pessoas afetadas e gravidade do dano). (…) É importante que o risco seja considerado em todos os níveis de tomada de decisão em relação ao constrangimento regulatório – desde a priorização estratégica de recursos até metas baseadas em premissas e regimes de sanções proporcionais. Governos devem garantir que uma definição consistente de risco seja usada por todos os fiscais e que ela forme a base para alocação de recursos e para definição da abordagem de constrangimento. [grifo nosso] Nesse sentido, entende-se que a operacionalização da alternativa pode ser baseada na avaliação de requisitos específicos que impactem na gradação da infração em leve, média e grave, considerando a gravidade e a natureza da infração e dos direitos pessoais afetados. Diante disso, sugere-se utilizar para a avaliação da gravidade e da natureza da infração critérios que estejam diretamente relacionados à magnitude que a infração possa causar ao titular de dados. No caso de infrações consideradas médias, pode-se ter as seguintes hipóteses: a) envolver tratamento de dados pessoais em larga escala; b) afetar significativamente interesses e direitos fundamentais e envolver tratamento de dados pessoais sensíveis ou de dados pessoais de crianças, de adolescentes ou de idosos, quando não realizado em larga escala; c) auferir, indiretamente, vantagem econômica em decorrência da infração cometida; ou d) descumprir determinação da ANPD. Já no caso de infrações graves, considera-se as hipóteses: a) envolver tratamento de dados pessoais em larga escala e afetar significativamente interesses e direitos fundamentais; b) constituir obstrução à atividade de fiscalização; c) auferir, diretamente, vantagem econômica em decorrência da infração cometida; Página 24 de 114 d) ocorrer tratamento com fins discriminatórios, ilícitos ou abusivos; e) descumprir determinação da ANPD de forma reiterada; ou f) verificadas duas ou mais hipóteses estabelecidas no caso de infração média. Nota-se que os conceitos de tratamento de dados pessoais em larga escala e que possa afetar significativamente interesses e direitos fundamentais foram trazidos no art. 4º do Regulamento de aplicação da LGPD para agentes de tratamento de pequeno porte, aprovado pela Resolução CD/ANPD nº 2, de 27 de janeiro de 2022, como pode ser conferido: Art. 4º (…) § 1º O tratamento de dados pessoais em larga escala será caracterizado quando abranger número significativo de titulares, considerando-se, ainda, o volume de dados envolvidos, bem como a duração, a frequência e a extensão geográfica do tratamento realizado. § 2º O tratamento de dados pessoais que possa afetar significativamente interesses e direitos fundamentais será caracterizado, dentre outras situações, naquelas em que a atividade de tratamento puder impedir o exercício de direitos ou a utilização de um serviço, assim como ocasionar danos materiais ou morais aos titulares, tais como discriminação, violação à integridade física, ao direito à imagem e à reputação, fraudes financeiras ou roubo de identidade. Por fim, ressalta-se que infrações que não se classifiquem como médias e graves podem ser consideradas leves. Destaca-se que diversos desses critérios são utilizados por autoridades de proteção de dados na avaliação do risco do tratamento ao titular de dados. A título de exemplo, destacam-se os documentos emitidos pelas autoridades do Reino Unido (ICO)10 e da França (CNIL)11, que utilizam o conceito de avaliação do risco no tratamento dos dados dos titulares. Ademais, vale ainda citar o Guideline12 sobre relatório de impacto à proteção de dados pessoais da Comissão Europeia. 8.2 BOA-FÉ 8.2.1 INTRODUÇÃO E PROBLEMA Entre os parâmetros e critérios a serem considerados na aplicação das sanções estabelecidas no art. 52, está prevista, no inciso II do § 1º, a boa-fé do infrator. 10 INFORMATION COMMISSIONER’S OFFICE. Data storage, sharing and security. Reino Unido. Disponível em: https://ico.org.uk/fororganisations/sme-webhub/frequently-asked-questions/data-storage-sharing-and-security/#howdo Acesso em 23 set. 2021. 11 COMMISSION NATIONALE DE L’INFORMATIQUE ET DES LIBERTÉS. Guide pratique de sensibilisation au RGPD. França. Disponível em: https://www.cnil.fr/sites/default/files/atoms/files/bpi-cnil-rgpd_guide-tpe-pme.pdf . Acesso em 23 set. 2021. 12 UNIÃO EUROPÉIA. Guidelines on Data Protection Impact Assessment (DPIA). Disponível em: https://ec.europa.eu/newsroom/article29/items/611236 . Acesso em: 23 set. 2021. Página 25 de 114 Reconhecida como um dos princípios fundamentais do direito privado, mas não mais se limitando a este, a boa-fé é trazida vastamente pelo ordenamento jurídico nacional. Usa-se como exemplo o teor dos artigos 113, 187 e 422 da Lei nº 10.106, de 10 de janeiro de 2002, Código Civil, além de dispositivos da Lei nº 8.078, de 11 de setembro de 1990, o Código de Defesa do Consumidor, entre os quais os arts. 4º, III e 51, IV Código Civil Art. 113. Os negócios jurídicos devem ser interpretados conforme a boa-fé e os usos do lugar de sua celebração. Art. 187. Também comete ato ilícito o titular de um direito que, ao exercê-lo, excede manifestamente os limites impostos pelo seu fim econômico ou social, pela boa-fé ou pelos bons costumes. Art. 422. Os contratantes são obrigados a guardar, assim na conclusão do contrato, como em sua execução, os princípios de probidade e boa-fé. Código de Defesa do Consumidor Art. 4º A Política Nacional das Relações de Consumo tem por objetivo o atendimento das necessidades dos consumidores, o respeito à sua dignidade, saúde e segurança, a proteção de seus interesses econômicos, a melhoria da sua qualidade de vida, bem como a transparência e harmonia das relações de consumo, atendidos os seguintes princípios: (…) III – harmonização dos interesses dos participantes das relações de consumo e compatibilização da proteção do consumidor com a necessidade de desenvolvimento econômico e tecnológico, de modo a viabilizar os princípios nos quais se funda a ordem econômica (art. 170, da Constituição Federal), sempre com base na boa-fé e equilíbrio nas relações entre consumidores e fornecedores; Art. 51. São nulas de pleno direito, entre outras, as cláusulas contratuais relativas ao fornecimento de produtos e serviços que: (…) IV – estabeleçam obrigações consideradas iníquas, abusivas, que coloquem o consumidor em desvantagem exagerada, ou sejam incompatíveis com a boafé ou a equidade; Entende-se o princípio da boa-fé como o dever de cooperação, transparência, coerência e correção. A doutrina jurídica ainda o divide em sua percepção subjetiva e em objetiva. A forma subjetiva, também conhecida como psicológica, trata de convicções internas, da intenção motivadora da conduta do agente. A boa-fé objetiva, por outro lado, se relaciona a um Página 26 de 114 comportamento concreto, a fatos de ordem objetiva, conferindo maior importância à conduta das partes e ao cumprimento do dever de correção e honestidade em uma relação jurídica. Observa-se que a boa-fé também é elencada no art. 6º da LGPD como necessária a qualquer atividade de tratamento de dados pessoais, juntamente dos demais princípios ali elencados. Assim, os agentes de tratamento deverão observar, em sua relação com os titulares, o dever de cooperação, transparência, coerência e correção. À autoridade nacional, por sua vez, cabe definir o momento e a forma em que a boa-fé do infrator deverá ser considerada em sua atividade sancionadora, de forma a prover previsibilidade e segurança jurídica aos regulados. 8.2.2 EXPERIÊNCIA NACIONAL E INTERNACIONAL SOBRE O TEMA Na atividade regulatória nacional, observa-se, na Instrução Normativa nº 607/2019 da CVM, a consideração da boa-fé dos envolvidos como parâmetro na apuração de infrações (art. 4º, § 1º, VI) e a boa-fé dos acusados como circunstância atenuante na aplicação da sanção (art. 66, IV): Art. 4° Considerando as informações obtidas na investigação das infrações administrativas, as superintendências poderão: (…) § 1º Na avaliação da relevância da conduta ou da expressividade da ameaça ou lesão ao bem jurídico, poderão ser utilizados os seguintes parâmetros, dentre outros: (…) VI – a boa-fé das pessoas envolvidas; (…) Art. 66. São circunstâncias atenuantes: I – a confissão do ilícito ou a prestação de informações relativas à sua materialidade; II – os bons antecedentes do infrator; III – a regularização da infração; IV – a boa-fé dos acusados; e V – a adoção efetiva de mecanismos e procedimentos internos de integridade, auditoria e incentivo à denúncia de irregularidades, bem como a aplicação efetiva de códigos de ética e de conduta no âmbito da pessoa jurídica, avaliada por entidade pública ou privada de reconhecida especialização. Reconhecendo ser um critério abstrato, a CVM, em relatório da audiência pública realizada anteriormente à publicação da IN em questão, defende, em relação a este e aos demais critérios constantes do rol de atenuantes do art. 66, que tal abstração “coaduna-se com o juízo de Página 27 de 114 discricionariedade intrínseco à atividade de julgamento pelo Colegiado, sempre limitado e vinculado aos motivos da decisão em cada caso concreto”13 . A Lei Orgânica do Tribunal de Contas da União (TCU) 14 também considera a boa-fé do denunciado ao permitir o arquivamento do processo nos casos em que, após verificada a boa-fé, o débito tenha sido quitado e nenhuma irregularidade adicional tenha sido notada: Art. 12. (…) § 2° Reconhecida pelo Tribunal a boa-fé, a liquidação tempestiva do débito atualizado monetariamente sanará o processo, se não houver sido observada outra irregularidade nas contas. O RASA da Anatel, por sua vez, traz a má-fé como critério de determinação do tipo de sanção (multa, no caso) e gravidade (grave) e estabelece um rol de comportamentos que serão enquadrados como tal, em capítulo específico dedicado ao tema15, em observância ao que determina o art. 177 da Lei Geral de Telecomunicações16: Art. 177. Nas infrações praticadas por pessoa jurídica, também serão punidos com a sanção de multa seus administradores ou controladores, quando tiverem agido de má-fé. No cenário internacional, o Regulamento Geral de Proteção de Dados (RGPD – legislação europeia de proteção de dados) também prevê a boa-fé como um princípio a ser observado no tratamento de dados pessoais em seu art. 5(1)17 e, ao tratar da aplicação de sanções, determina, em antítese, que seja considerado o caráter intencional ou negligente da infração (art. 83, 2, b 18), sem conceituar ou especificar ações que sejam enquadradas nesse caso. Em documento com diretrizes para aplicação de sanções19, a União Europeia esclarece que a identificação do caráter intencional ou negligente deverá ser feito a partir de elementos objetivos 13 COMISSÃO DE VALORES MOBILIÁRIOS. Relatório de Audiência Pública SDM nº 02/18 – Processo CVM SEI nº19957.006565/2017- 86. Disponível em: http://conteudo.cvm.gov.br/audiencias_publicas/ap_sdm/2018/sdm0218.html, Acesso em: 06 abr. 2022 14 BRASIL. Lei nº 8.443, de 16 de julho de 1992. Lei Orgânica do Tribunal de Contas da União. Disponível em: http://www.planalto.gov.br/ccivil_03/leis/l8443.htm. Acesso em 06 abr. 2022. 15 AGÊNCIA NACIONAL DE TELECOMUNICAÇÕES. Op cit. 16 BRASIL. Lei nº 9.472, de 16 de julho de 1997. Lei Geral de Telecomunicações. Disponível em: http://www.planalto.gov.br/ccivil_03/leis/l9472.htm. Acesso em 06 abr. 2022. 17 “5. Personal data shall be: 1. processed lawfully, fairly and in a transparent manner in relation to the data subject (‘lawfulness, fairness and transparency’); (…)” 18 “83 (2) Administrative fines shall, depending on the circumstances of each individual case, be imposed in addition to, or instead of, measures referred to in points (a) to (h) and (j) of Article 58(2). When deciding whether to impose an administrative fine and deciding on the amount of the administrative fine in each individual case due regard shall be given to the following: (b) the intentional or negligent character of the infringement; (…)” 19 UNIÃO EUROPÉIA. WP 253 – Guidelines on the application and setting of administrative fines for the purposes of the Regulation 2016/679. Disponível em https://ec.europa.eu/newsroom/just/document.cfm?doc_id=47889. Acesso em 11 abr. 2022. Página 28 de 114 de conduta reunidos no caso concreto, além de que a jurisprudência em desenvolvimento e a prática da aplicação da RGPD trará exemplos de circunstâncias e limites claros para a avaliação se uma infração foi intencional. 8.2.3 OPÇÕES REGULATÓRIAS O art. 52, § 1º, da LGPD determina que a autoridade nacional aplicará as sanções administrativas previstas no caput de forma gradativa, isolada ou cumulativa, de acordo com as peculiaridades do caso concreto e considerada, entre os parâmetros e critérios relacionados, a boafé do infrator. Assim, e considerando as definições estabelecidas anteriormente para critério e parâmetro, apresentam-se as seguintes opções regulatórias: Alternativa A – Boa-fé como critério Sendo critério definido como requisito para classificar o tipo de sanção a ser aplicada, constata-se que, apenas sua antítese, a má-fé, poderia ser considerada um critério para determinar a penalidade a ser imposta a uma determinada infração, a exemplo do que faz o RASA da Anatel, com base em previsão legal20 . Alternativa B – Boa-fé como parâmetro de circunstância atenuante Como parâmetro, ou seja, requisito aplicável para cálculo da sanção de multa, a boa-fé do infrator poderá atenuar a pena. Neste caso, em vista da obrigação de observância à boa-fé, conforme disposto no caput do art. 6º, aflora o risco de, ao se considerar a boa-fé como parâmetro atenuante de penalidades, se premiar o cumprimento da mera obrigação legal. Alternativa C – Boa-fé como parâmetro de circunstância agravante A não verificação da boa-fé nas atividades de tratamento de dados poderá agravar a pena, especialmente por tratar-se de princípio de observância obrigatória nos termos do art. 6º da LGPD. 8.2.4 MODELO ESCOLHIDO E JUSTIFICATIVA Por seu caráter de conduta obrigacional típica, conforme a doutrina e a jurisprudência, a boa-fé no processo administrativo sancionador é aquela em sua concepção objetiva e deverá delinear a aplicação de sanções, como parâmetro, de forma a atenuar ou agravar a pena. Por silogismo, não parece ser razoável que a boa-fé defina, como critério, uma eventual sanção. 20 BRASIL. Lei nº 9.472, de 16 de julho de 1997. Disponível em: http://www.planalto.gov.br/ccivil_03/leis/l9472.htm. Acesso em 06 abr. 2022. Página 29 de 114 Opta-se, então, pela Alternativa “B” como parâmetro atenuante para aplicação de penalidades. No que se relaciona ao fato de se considerar a obrigação legal de boa-fé como bonificação no processo sancionador, faz-se necessário recordar que o AIR sobre a norma de processo sancionador da ANPD21 optou por uma estratégia de atuação fiscalizatória voltada para promover a conformidade e orientar, baseada em risco e com foco em promover melhorias significativas no respeito às normas de proteção de dados pela sociedade. Reconhecer e estimular a adequação à lei, portanto, vai ao encontro da regulação responsiva, alicerce da proposta normativa da ANPD. Adicionalmente, em referência ao RGPD, ao optar por incluir a boa-fé ao invés da negligência e do caráter intencional da infração entre os parâmetros para aplicação de sanções, como ocorre na legislação europeia, é possível supor que o legislador buscou valorizar e premiar a observância à lei com vistas à criação de uma cultura de proteção de dados no País. Ainda assim, importa ressaltar que a não observância da boa-fé não deverá passar despercebida pela autoridade pois, nos termos do art. 6º e do reconhecimento de seu atributo de conduta obrigacional, constitui-se em ilegalidade. 8.2.5 OPERACIONALIZAÇÃO É fato que o conceito da boa-fé é conceito nebuloso, cuja aplicação e correta interpretação deverão ser objeto de avaliação cuidadosa por aquele que interpretar a norma de forma a conferir previsibilidade e segurança jurídica ao administrado. Qualquer tentativa de se incluir em regulamento, de forma inovadora, uma definição para boa-fé arrisca-se em restringir seu escopo e limitar as circunstâncias atenuadoras previstas em lei. Da mesma forma, mesmo que a boa-fé objetiva pressuponha um rol de condutas esperadas, estas só poderão ser verificadas a partir do comportamento adotado pelo agente de tratamento no caso específico, privilegiando também o princípio da proporcionalidade da pena, o que parece ter sido considerado pelo legislador ao determinar que a autoridade nacional deve aplicar sanções de acordo com as peculiaridades do caso concreto. Cabe ponderar, ainda, que os deveres gerais de conduta se materializam no caso concreto, considerados o ambiente social e as dimensões do tempo e do espaço de sua observância ou 21 Processo SEI 00261.000089/2021-76, Documento 2590402. Página 30 de 114 aplicação22. Especialmente no caso de uma legislação e de um sistema de proteção de dados com ligações profundas com a inovação tecnológica, um rol de condutas desejáveis, mesmo que apenas exemplificativa, poderá tornar-se obsoleta em curto prazo, comprometendo a eficácia da norma. De qualquer forma, espera-se, no agir com boa-fé, que, por força do art. 6º da LGPD, deverão ser observadas desde o início do tratamento de dados e não apenas durante o processo sancionador, a conduta correta e coerente, a cooperação com os titulares de dados na tutela de seus direitos, a transparência, a observância aos demais princípios elencados no art. 6º, bem como a adoção de procedimentos de segurança no armazenamento, eliminação e descarte dos dados, entre outros que poderão ser avaliados e aplicados no caso concreto. Por outro lado, toda conduta adversa, baseada em mentira, oportunismo, incoerência e falta de consideração, também deverá ser avaliada e aplicada no processo específico. Assim, sugere-se que a boa-fé do infrator seja avaliada e aplicada no caso concreto pelo sistema de decréscimo de percentuais no cálculo do valor da sanção de multa ou no período da penalidade. Sugere-se, assim, a redução da sanção de multa para um agente de tratamento que tenha atuado com correção e lisura no tratamento de dados pessoais ou com a Administração Pública durante o processo sancionador. 8.3 VANTAGEM AUFERIDA OU PRETENDIDA 8.3.1 INTRODUÇÃO E PROBLEMA O inciso II do § 1º do art. 52 estabelece como fator a ser considerado na dosimetria a vantagem auferida ou pretendida pelo infrator. Cumpre observar que a lei não especifica a natureza da vantagem a ser considerada nesse inciso. De toda sorte, ela deve ser apurada a partir das circunstâncias do caso concreto. Os parágrafos 3º e 4º do art. 11 da LGPD, que tratam da regulamentação e vedação da comunicação e uso compartilhado de dados sensíveis, fazem referência à obtenção de vantagem econômica pelos agentes de tratamento. A possibilidade de se obter vantagem por meio de uma violação à legislação de proteção de dados, no entanto, pode ocorrer em diversas outras hipóteses de tratamento irregular, como na comercialização de bases de dados, a obtenção de vantagem competitiva ou a redução de riscos na contratação com uso de dados pessoais não sensíveis. 22 LOBO, P. Boa-fé entre o princípio jurídico e o dever geral de conduta obrigacional. Disponível em: http://genjuridico.com.br/2018/02/26/boa-fe-do-administrado-e-do-administrador-como-fator-limitativo-da-discricionariedadeadministrativa/ Acesso em: 06 abr. 2022. Página 31 de 114 Deve-se estabelecer, quando da análise dos casos concretos, se o descumprimento do comando legal pode trazer vantagem ao infrator e, se positivo, avaliar a possibilidade de ser estimado o seu valor econômico. A depender da natureza da infração, pode ser reconhecida a inexistência de vantagem, direta ou indireta, do infrator. Tanto a existência quanto o cálculo do valor da vantagem, em especial a pretendida, pode ser complexo do ponto de vista probatório. Assim, cabe à ANPD estabelecer de que forma a obtenção ou pretensão de obter vantagem auferida será considerada na imposição de sanções. 8.3.2 EXPERIÊNCIA NACIONAL E INTERNACIONAL Vários órgãos nacionais usam a vantagem auferida como um parâmetro ou critério para estabelecer a pena. Esse fator é usado especialmente na gradação ou cálculo da multa. A legislação europeia, como se verá adiante, também inclui algo semelhante na aplicação das multas. A Anac utiliza a vantagem auferida em virtude da infração como um parâmetro para o cálculo do valor- base da multa, conforme a Resolução nº 599, de 14 de dezembro de 2020: Art. 2º Para os fins desta Resolução, considera-se: (…) IV – valor-base da multa: (..) b) nos demais contratos de concessão de infraestrutura aeroportuária, corresponde ao valor máximo de multa previsto para a infração ponderado pela natureza e pela gravidade da infração, pelo caráter técnico e pelas normas de prestação do serviço, pelos danos resultantes da infração para o serviço e para os usuários, pela vantagem auferida pela Concessionária em virtude da infração, e pelo número de usuários atingidos, previamente à aplicação de agravantes e atenuantes, e multiplicado por seu critério de incidência. Já o RASA da Anatel utiliza a vantagem auferida para definir a gravidade da infração. Além disso, o regulamento ainda distingue a vantagem auferida indireta da vantagem auferida direta. Art. 9º As infrações são classificadas, segundo sua natureza e gravidade, em: (…) § 2º A infração deve ser considerada média quando da ocorrência de uma das seguintes alternativas: I – vantagem indireta ao infrator em decorrência da infração cometida; ou, (…) § 3º A infração deve ser considerada grave quando da ocorrência de uma das seguintes alternativas: (Redação dada pela Resolução nº 746, de 22 de junho de 2021) Página 32 de 114 I – vantagem direta ao infrator em decorrência da infração cometida; (Redação dada pela Resolução nº 746, de 22 de junho de 2021) (…) Art. 18. No cálculo do valor base da multa devem ser considerados os seguintes aspectos: (…) V – o vulto da vantagem auferida, direta ou indiretamente, pelo infrator. (…) § 2º O valor base da multa nunca será inferior ao dobro da vantagem auferida, quando estimável. A classificação da infração conforme a gravidade, por sua vez, determinará que tipo de pena pode ser aplicada e a gradação da multa. Dessa forma, no regulamento da Anatel, a vantagem auferida é usada com um parâmetro e um critério. A Lei nº 13.506, de 13 de novembro de 2017, que dispõe sobre o processo administrativo sancionador na esfera de atuação do Banco Central do Brasil (Bacen) e da CVM, também prevê, no art. 10, inc. III, a “vantagem auferida ou pretendida” pelo infrator como um fator a ser considerado na aplicação das penas. A Resolução nº 131, de 20 de agosto de 202123 , do Bacen, determina que a vantagem auferida ou pretendida pelo infrator será um agravante no cálculo da pena de multa e na aplicação de outras sanções: Art. 51. São circunstâncias que agravam as penalidades de multa, de proibição de prestar determinados serviços, de proibição de realizar determinadas atividades ou modalidades de operação e de inabilitação, quando não constituírem infrações autônomas: (…) III – a vantagem auferida ou pretendida pelo infrator; e (…) § 1º A penalidade de multa será aumentada em 20% (vinte por cento) para cada agravante verificada. Na Lei de Defesa da Concorrência, que regula a atuação do Cade, a vantagem auferida é usada para modular a multa e também como um critério ou parâmetro na aplicação das sanções: Art. 37. A prática de infração da ordem econômica sujeita os responsáveis às seguintes penas: I – no caso de empresa, multa de 0,1% (um décimo por cento) a 20% (vinte por cento) do valor do faturamento bruto da empresa, grupo ou 23 BANCO CENTRAL DO BRASIL. Resolução nº 131/2021. Disponível em: https://www.in.gov.br/web/dou/-/resolucao-bcb-n-131-de20-de-agosto-de-2021-339812212. Acesso em 06 abr. 2022. Página 33 de 114 conglomerado obtido, no último exercício anterior à instauração do processo administrativo, no ramo de atividade empresarial em que ocorreu a infração, a qual nunca será inferior à vantagem auferida, quando for possível sua estimação; … Art. 45. Na aplicação das penas estabelecidas nesta Lei, levar-se-á em consideração: … III – a vantagem auferida ou pretendida pelo infrator; [grifo nosso] O Cade possui, ainda, o Guia Dosimetria de multas de cartel, colocado em consulta pública em julho de 202024. Nesse guia, a órgão afirma que a duração da conduta deve ser levada em consideração no cálculo da multa, já que está inclusive relacionada diretamente a vantagem indevidamente auferida. O Cade explica também que a vantagem auferida é difícil de ser calculada e está sujeita a elevado grau de imprecisão. Além disso, explica que a vantagem auferida mencionada no art. 37, inc I – que determina que a multa “nunca será inferior à vantagem auferida” – não está relacionada à citada no art. 45, inc. III – que dispõe que “a vantagem auferida ou pretendida pelo infrator” deve ser considerada na aplicação das penas. De toda a forma, segundo o Cade, o seu Tribunal deverá avaliar, caso a caso, se a estimação da vantagem auferida é possível. A Lei nº 12.846, de 1º de agosto de 2013, que dispõe sobre a responsabilização administrativa e civil de pessoas jurídicas pela prática de atos contra a administração pública, de competência da Controladoria Geral da União (CGU), também usa a vantagem auferida para modular o valor da multa e a vantagem auferida ou pretendida como critério e/ou parâmetro na aplicação das sanções: Art. 6º Na esfera administrativa, serão aplicadas às pessoas jurídicas consideradas responsáveis pelos atos lesivos previstos nesta Lei as seguintes sanções: I – multa, no valor de 0,1% (um décimo por cento) a 20% (vinte por cento) do faturamento bruto do último exercício anterior ao da instauração do processo administrativo, excluídos os tributos, a qual nunca será inferior à vantagem auferida, quando for possível sua estimação; e (…) Art. 7º Serão levados em consideração na aplicação das sanções: (…) 24 CONSELHO ADMINISTRATIVO DE DEFESA ECONÔMICA. Guia de Dosimetria de multas de cartel. Disponível em: https://cdn.cade.gov.br/Portal/Not%C3%ADcias/2020/Cade%20estende%20prazo%20para%20contribui%C3%A7%C3%B5es%20%C 3%A0%20vers%C3%A3o%20preliminar%20do%20Guia%20de%20Dosimetria%20de%20Multas%20de%20Cartel__Minuta_Guia_de _dosimetria.pdf. Acesso em 05 out. 2021. Página 34 de 114 II – a vantagem auferida ou pretendida pelo infrator; A lei supramencionada é regulamentada pelo Decreto nº 8.420, de 18 de março de 2015, que detalha como a vantagem auferida ou pretendida será considerada e seu conceito: Art. 20. A existência e quantificação dos fatores previstos nos art. 17 e art. 18, deverá ser apurada no PAR e evidenciada no relatório final da comissão, o qual também conterá a estimativa, sempre que possível, dos valores da vantagem auferida e da pretendida. § 1º Em qualquer hipótese, o valor final da multa terá como limite: I – mínimo, o maior valor entre o da vantagem auferida e o previsto no art. 19; e II – máximo, o menor valor entre: a) vinte por cento do faturamento bruto do último exercício anterior ao da instauração do PAR, excluídos os tributos; ou b) três vezes o valor da vantagem pretendida ou auferida. § 2º O valor da vantagem auferida ou pretendida equivale aos ganhos obtidos ou pretendidos pela pessoa jurídica que não ocorreriam sem a prática do ato lesivo, somado, quando for o caso, ao valor correspondente a qualquer vantagem indevida prometida ou dada a agente público ou a terceiros a ele relacionados. § 3º Para fins do cálculo do valor de que trata o § 2º, serão deduzidos custos e despesas legítimos comprovadamente executados ou que seriam devidos ou despendidos caso o ato lesivo não tivesse ocorrido. A Lei nº 6.385, de 7 de dezembro de 1976, que criou a CVM e dispõe sobre o mercado de valores mobiliários, também usa termo semelhante para modular o valor da multa a ser aplicada: Art. 11. A Comissão de Valores Mobiliários poderá impor aos infratores das normas desta Lei, da Lei no 6.404, de 15 de dezembro de 1976 (Lei de Sociedades por Ações), de suas resoluções e de outras normas legais cujo cumprimento lhe caiba fiscalizar as seguintes penalidades, isoladas ou cumulativamente: (…) II – multa; (…) § 1º A multa deverá observar, para fins de dosimetria, os princípios da proporcionalidade e da razoabilidade, a capacidade econômica do infrator e os motivos que justifiquem sua imposição, e não deverá exceder o maior destes valores: (…) III – 3 (três) vezes o montante da vantagem econômica obtida ou da perda evitada em decorrência do ilícito; ou (Redação dada pela Lei nº 13.506, de 2017) Página 35 de 114 A Instrução nº 607/2019, que dispõe sobre a atuação sancionadora da CVM, reproduziu o disposto na Lei: Art. 61. A penalidade de multa não deverá exceder o maior dos seguintes valores: (…) III – 3 (três) vezes o montante da vantagem econômica obtida ou da perda evitada em decorrência do ilícito; ou Art. 65. São circunstâncias agravantes, quando não constituem ou qualificam a infração: (…) III – a expressiva vantagem auferida ou pretendida pelo infrator; O Código de Defesa do Consumidor25 estabelece a vantagem auferida como fator para graduação da multa: Art. 57. A pena de multa, graduada de acordo com a gravidade da infração, a vantagem auferida e a condição econômica do fornecedor, será aplicada mediante procedimento administrativo, revertendo para o Fundo de que trata a Lei nº 7.347, de 24 de julho de 1985, os valores cabíveis à União, ou para os Fundos estaduais ou municipais de proteção ao consumidor nos demais casos. (Redação dada pela Lei nº 8.656, de 21.5.1993) Por fim, o RGPD também usa conceito semelhante como fator a ser considerado na aplicação de multas: Artigo 83. Condições gerais para a aplicação de coimas (…) 2. Consoante as circunstâncias de cada caso, as coimas são aplicadas para além ou em vez das medidas referidas no artigo 58.o, n.o 2, alíneas a) a h) e j). Ao decidir sobre a aplicação de uma coima e sobre o montante da coima em cada caso individual, é tido em devida consideração o seguinte: (…) k) Qualquer outro fator agravante ou atenuante aplicável às circunstâncias do caso, como os benefícios financeiros obtidos ou as perdas evitadas, direta ou indiretamente, por intermédio da infração. 8.3.3 OPÇÕES REGULATÓRIAS Como visto, a vantagem auferida ou pretendida, embora sejam usadas também como um critério em alguns casos, são mais frequentemente usadas como parâmetro para cálculo da multa ou modulação de seu valor, podendo ser seu limite mínimo ou ser fator da função que calcula seu 25 BRASIL. Lei nº 8.078, de 11 de setembro de 1990. Disponível em: http://www.planalto.gov.br/ccivil_03/leis/l8078compilado.htm. Acesso em 06 abr. 2022. Página 36 de 114 valor máximo. Utilizar a vantagem auferida como fator para cálculo da multa (como seu limite mínimo ou fator do limite máximo) é útil para que o infrator seja dissuadido de cometer infrações em que obtenha ganhos financeiros, já que se o ganho obtido for maior que a multa, o infrator terá incentivos de cometer o ilícito. De qualquer forma, a vantagem auferida ou pretendida também podem ser usadas de outras formas na aplicação de sanções. As experiências de outros órgãos, tanto nacionais como estrangeiros, apontam para a possibilidade da vantagem auferida ou pretendia serem utilizadas para três finalidades: (i) como parâmetro para o valor da multa; (ii) como circunstância agravante da infração; e (iii) para definir a natureza e gravidade da infração, portanto usada como um parâmetro e critério. Considerando as definições adotadas no presente documento, foram avaliadas 3 (três) possibilidades de sua utilização: (A) como critério; (B) como parâmetro; (C) como critério e parâmetro. Alternativa A – A vantagem auferida como critério Na Alternativa A, a vantagem auferida ou pretendida pelo infrator determinaria o tipo de sanção a ser aplicada. Nessa hipótese, o fato de o infrator auferir uma vantagem, por si só, poderia ser utilizado como critério para aplicação de uma pena mais gravosa. Alternativa B – A vantagem auferida como parâmetro Na Alternativa B, a vantagem auferida ou pretendida seria utilizada para graduar a dosimetria da sanção aplicada. Em especial no caso de aplicação de multas, o valor econômico da vantagem pode ser utilizado com parâmetro para estabelecer seu patamar mínimo e máximo, tal como estabelecido por diversos órgãos e agências reguladoras. Ao tornar a multa proporcional à vantagem auferida pelo infrator, busca-se eliminar a utilidade econômica do descumprimento da legislação. Pode haver dificuldades técnicas, no caso concreto, para definir e calcular qual teria sido a vantagem econômica obtida ou pretendida pelo infrator. Alternativa C – A vantagem auferida como critério e parâmetro Na Alternativa C, a existência e o vulto da vantagem auferida e pretendida seriam utilizados tanto como critério quanto como parâmetro. O fato de o agente auferir uma vantagem da infração, direta ou indireta, aumentaria a reprovabilidade da sua conduta, agravando sua natureza e, portanto, o tipo sanção a ser aplicada. Página 37 de 114 Se estimável, o cálculo do valor da vantagem serviria como critério para aplicação da penalidade, na determinação do valor da multa, ou do tempo de suspensão do exercício da atividade a serem aplicados. 8.3.4 MODELO ESCOLHIDO E JUSTIFICATIVA Considerando as possibilidades apresentadas, entende-se que a Alternativa “C” é a mais adequada por permitir a gradação tanto do tipo de sanção, quanto do valor ou duração da penalidade a ser aplicada. Nas hipóteses de infração em que o agente pretende obter ou obtém vantagem e, portanto, há um maior incentivo ao descumprimento das determinações legais, a autoridade deve ser capaz de agravar e parametrizar a sanção a fim de torná-la efetiva. Isso pode não ser possível caso a vantagem seja tratada, alternativamente, apenas como critério ou como parâmetro. 8.3.5 OPERACIONALIZAÇÃO A existência e o valor da vantagem auferida ou pretendida serão apurados ao longo da instrução do processo administrativo. Conforme definido na LGPD, a vantagem pode ser a efetivamente auferida ou a pretendida. Dessa forma, não é necessário que o infrator tenha realizado ganho financeiro para que esse fator seja considerado, bastando tão somente a sua pretensão, como, por exemplo, tentar vender ilegalmente dados pessoais. Além disso, a vantagem auferia ou pretendida pode ser direta ou indireta. A vantagem direta é aquela em que o infrator obtém recursos financeiros em decorrência da infração, como, por exemplo, aqueles decorrentes da venda ilegal de dados pessoais. Já a vantagem indireta é todo custo ou investimento que o infrator deixou de fazer em decorrência da infração, como por exemplo, o custo que um agente de tratamento não tem ao deixar de investir em uma ferramenta mais eficaz de segurança da informação. Também é considerada vantagem indireta as vantagens econômicas e/ou comerciais auferidas em decorrência da infração, como acesso a recursos ou informações que aumentem sua base de consumidores e, consequentemente, sua receita, por exemplo. Considerando que os tipos de vantagens descritos acima são diversos e podem gerar diferentes níveis de lesão ao titular de dados pessoais, sugere-se considerar a vantagem auferida (direta ou indiretamente) na gradação da gravidade da infração e a gravidade auferida ou pretendida (direta ou indiretamente) como critério, especialmente para a sanção de multa. Além Página 38 de 114 disso, para dissuadir agentes de tratamento a cometerem infrações em que possam obter ganhos financeiros, sugere-se que a vantagem auferida também sirva para modular o valor da multa, de forma que o valor mínimo aplicável nunca seja menor que o dobro da vantagem auferida, quando estimável, desde que esse valor esteja dentro dos limites do art. 52, inc. II da LGPD. Dessa forma, a vantagem auferida indiretamente implicaria em uma sanção pelo menos média. Por sua vez, a vantagem auferida diretamente implicaria em uma sanção grave. A multa seria aplicada se o infrator, entre outros fatores, tenha obtido ou teve a pretensão de obter vantagem, direta ou indireta. Além disso, a multa não poderá ser menor que o dobro da vantagem auferida, observados os limites da LGPD. Verificada a possibilidade de ser estimado o valor da vantagem auferida ou pretendida, por meio de metodologia própria e de maneira fundamentada, tal valor seria utilizado como parâmetro e critério, da forma descrita acima. O valor final da multa será, portanto, o maior valor entre: (i) o dobro da vantagem auferida ou pretendida pelo agente, se auferível, e (ii) o valor base, ponderado pelas demais circunstâncias agravantes e atenuantes. 8.4 CONDIÇÃO ECONÔMICA DO INFRATOR 8.4.1 INTRODUÇÃO E PROBLEMA Outro fator estabelecido pelo § 1º do art. 52 é a condição econômica do infrator. Embora esse fator esteja disposto no art. 52, não há uma definição ou maior detalhamento a respeito dele na LGPD. A Lei, contudo, faz referência a fatores relacionados à situação econômica do infrator em outros dispositivos. A multa estabelecida no art. 52, inc. II, por exemplo, é um percentual sobre o faturamento da pessoa jurídica de direito privado, grupo ou conglomerado, limitada ao valor de R$ 50 milhões. Já o § 4º do mesmo artigo estabelece que a ANPD poderá considerar o faturamento total da empresa ou grupo de empresas quando não dispuser do valor do faturamento no ramo de atividade em que ocorreu a infração. Assim, de certa forma, quando o infrator possuir faturamento, um aspecto de sua condição econômica já é considerado no cálculo da aplicação de multa. Contudo, a condição econômica de uma entidade não se resume ao seu faturamento, dizendo respeito também à sua capacidade financeira, seus ativos, passivos e seu patrimônio. Uma empresa que possui faturamento, por exemplo, pode se encontrar em recuperação judicial. Além disso, a Lei estabelece que esses critérios Página 39 de 114 e parâmetros devem ser considerados na aplicação das sanções elencadas no art. 52, não apenas multa. Deve-se, assim, estipular como a condição econômica do infrator deve ser considerada para aplicação de sanções e, se for o caso, na dosimetria da multa. 8.4.2 EXPERIÊNCIA NACIONAL E INTERNACIONAL No Brasil, foram identificados cinco órgãos que usam a condição econômica do infrator como um critério para a aplicação de sanção, especialmente de multa. No caso da CVM, a condição econômica do infrator está disposta na lei de criação da CVM (Lei nº 6.385/1976), em seu art. 11, § 1º, que estabelece critérios a serem observados para fins de dosimetria. Destaca-se que a multa aplicada pela CVM não se dá em relação ao faturamento da empresa, mas em relação ao valor da operação, vantagem obtida, prejuízo causado, ou, ainda, ao limite de R$ 50 milhões. No caso, a CVM utiliza o parâmetro de condição econômica do infrator para calcular o valor base da multa, conforme o art. 63 da Instrução nº 607/2019: Art. 63. Na fixação da pena-base, o Colegiado observará os princípios da proporcionalidade e da razoabilidade, bem como a capacidade econômica do infrator e os motivos que justifiquem a imposição da penalidade. O termo “condição econômica do infrator” está disposto também na Lei Geral de Telecomunicações (Lei nº 9.472/1997), no art. 179, § 1º, como um fator a ser considerado na aplicação de multas. A multa disposta pela lei é em termos absolutos e é limitada a R$ 50 milhões. No RASA, a Anatel também usou o termo “situação econômica e financeira do infrator” e, assim como a CVM, o utiliza para cálculo do valor base da multa. O mesmo regulamento, no art. 10, inc. IX, especifica que na definição da sanção deve ser considerada, entre outros, “a situação econômica e financeira do infrator, em especial sua capacidade de geração de receitas e seu patrimônio”. Já o art. 18 estabelece que esse parâmetro será usado no cálculo do valor base da multa e o §1° do mesmo artigo estabelece que, para fins de apuração da situação econômica, deve ser adotada a receita operacional líquida anual do infrator. Nesse sentido, o RASA dividiu as empresas em cinco grupos de acordo com o seu porte, que, por sua vez, é baseado no faturamento. Para cada grupo, há três faixas de valores de multa, de acordo com a gravidade da infração. Já no caso da Ancine, o Decreto nº 6.590/2008 estabelece que a situação econômica do infrator será levada em consideração para a determinação da multa. O decreto ainda prevê uma série de infrações, determinando, para cada uma delas, uma faixa de valores para a multa a ser Página 40 de 114 aplicada. Só há uma infração cuja multa é aplicada com base na receita da empresa, prevista no art. 40 do Decreto, referente à não exibição de obras cinematográficas brasileiras. Por fim, a Lei de Defesa da Concorrência também estabelece a situação econômica do infrator como um fator a ser considerado na aplicação das penas estabelecidas naquela lei. O Cade, em Minuta de Guia de Dosimetria de multas para cartel, afirma que esse parâmetro geralmente é usado como atenuante, especialmente se a empresa se encontra em situação de dificuldade econômica, como recuperação judicial. Ainda não há uma versão definitiva do Guia de Dosimetria citado. A CGU publicou o Manual Prático de Cálculo de Multa no Processo Administrativo de Responsabilização26 , em que orienta como devem ser aplicadas as multas estabelecidas na Lei nº 12.846/2013. O art. 7º, inc. VI, dessa Lei estabelece que, na aplicação de multa, deve-se levar em consideração a situação econômica do infrator. O Decreto nº 8.420/2015, que regulamenta a citada Lei, determina que a multa será a soma de uma série de percentuais do faturamento bruto da pessoa jurídica. Um desses percentuais é justamente o que considera a situação econômica do infrator. Art. 17. O cálculo da multa se inicia com a soma dos valores correspondentes aos seguintes percentuais do faturamento bruto da pessoa jurídica do último exercício anterior ao da instauração do PAR, excluídos os tributos: I – um por cento a dois e meio por cento havendo continuidade dos atos lesivos no tempo; II – um por cento a dois e meio por cento para tolerância ou ciência de pessoas do corpo diretivo ou gerencial da pessoa jurídica; III – um por cento a quatro por cento no caso de interrupção no fornecimento de serviço público ou na execução de obra contratada; IV – um por cento para a situação econômica do infrator com base na apresentação de Índice de Solvência Geral – SG e de Liquidez Geral – LG superiores a um e de lucro líquido no último exercício anterior ao da ocorrência do ato lesivo; [grifo nosso] Assim, conforme esse decreto, considera-se o Índice de Solvência Geral (ISG) e o Índice de Liquidez Geral (ILG) como medidas para aferir a situação econômica do infrator. O ISG é calculado dividindo-se o ativo da empresa por seu passivo. Conforme o já citado manual da CGU, esse índice expressa o grau de garantia que a empresa possui para pagar suas dívidas. Já o ILG diz respeito a 26 CONTROLADORIA GERAL DA UNIÃO. Manual Prático de Cálculo de Multa no Processo Administrativo de Responsabilização. Disponível em https://www.gov.br/cgu/pt-br/assuntos/responsabilizacao-de-empresas/leianticorrupcao/Manualprtico_clculodemulta_PAR_dez2018.pdf. Acesso em 14 de out. 2021. Página 41 de 114 quanto a empresa possui de ativos para liquidar suas obrigações no curso do exercício seguinte. Dessa maneira, quanto maiores forem esses índices, melhor estará a situação financeira da empresa. O inciso IV do art. 17 do Decreto nº 8.420/2015 também menciona o lucro líquido, que é calculado subtraindo-se os custos totais da empresa de sua receita total. Ainda conforme o Manual da CGU, esse parâmetro é binário, ou seja, será acrescentado 1% do faturamento à multa caso todos esses fatores estiverem presentes. Caso pelo menos um não esteja presente, o acréscimo não se aplica. Portanto, para que seja aplicado, a empresa deve ter ISG e ILG maiores que um e deve ter obtido lucro no exercício anterior ao da infração. A situação econômica do infrator é, portanto, considerada como um agravante. Em relação a autoridades de proteção de dados de outros países, foram identificadas duas autoridades que usam esse parâmetro, quais sejam, a ICO do Reino Unido e a CNPD, de Portugal. Segundo a minuta “Draft Statutory Guidance” da ICO, colocada em consulta pública em 2020, a consideração dos meios financeiros da entidade se dá no passo 6, após a determinação do valor base da multa e de qualquer atenuante ou agravante. Nesse estágio, é avaliada a probabilidade de a empresa ou indivíduo conseguir pagar a multa e se a multa poderá causar dificuldades financeiras indevidas ao infrator. A autoridade solicitará informações do controlador a respeito de sua capacidade em pagar a multa e poderá, inclusive, solicitar uma consultoria financeira ou contábil especializada para essa etapa27. Ainda não há uma versão definitiva publicada desse guia. Já a lei portuguesa, a Lei nº 58, de 8 de agosto de 2019, no art. 39, estabelece que a situação econômica do agente deve ser considerada na determinação do valor da multa, nos seguintes termos: Artigo 39º Determinação da medida da coima 1 – Na determinação da medida da coima, a CNPD tem em conta, para além dos critérios estabelecidos no nº 2 do artigo 83º do RGPD: a) A situação económica do agente, no caso de pessoal singular, ou o volume de negócios e o balanço anual, no caso de pessoa coletiva. 27 Conforme disposto na minuta disponibilizada para consulta pública: “Based on the information available, we will consider the likelihood of the organisation or individual being able to pay the proposed penalty and whether it may cause undue financial hardship. If required, we will review or if needed, obtain, expert financial or accountancy advice in support of this step. This will be particularly important if an organisation’s or individual’s ability to pay is unclear or there has been a recent change in its financial, trading, or competitive status. We will ask the data controller or processor for information about its ability to pay, as appropriate.” Página 42 de 114 8.4.3 OPÇÕES REGULATÓRIAS Considerando a experiência de outros órgãos, tanto nacionais quanto estrangeiros, vê-se que é possível considerar a condição econômica do infrator de várias formas no que tange à aplicação de multa. Foram identificadas as seguintes possibilidades de consideração da condição econômica: (i) considerada no valor base; (ii) como parâmetro de circunstância atenuante; (iii) como parâmetro de circunstância agravante; (iv) como parâmetro modulador; (v) como critério; (vi) como critério geral e norteador. Alternativa A – Condição econômica considerada no valor base A Alternativa A seria considerá-la no cálculo do valor base. Caso o infrator seja uma empresa que possui faturamento, esse aspecto já é considerado no cálculo da multa. Outros aspectos, como saúde financeira e patrimônio, poderiam também ser considerados para estabelecer o valor base da multa. Alternativa B – Condição econômica como parâmetro de circunstância atenuante A Alternativa B seria considerar a condição econômica do infrator como um atenuante, caso o infrator comprovadamente esteja em uma situação de dificuldade financeira. Alternativa C – Condição econômica como parâmetro de circunstância agravante Assim como estabelecido no Decreto nº 8.420/2015, esse fator também poderia ser usado como um agravante. Essa seria a alternativa C. Alternativa D – Condição econômica como parâmetro modulador A Alternativa D seria considerar esse fator após o cálculo do valor base e de atenuantes e agravantes, para modular o valor da multa, tal como proposto na minuta de guia elaborado pela ICO. Alternativa E – Condição econômica como critério A condição econômica do infrator poderia ser usada como um critério na consideração de outras sanções diferentes da multa. Nesse sentido, a suspensão do exercício da atividade de tratamento de dados (art. 52, inc. XI), por exemplo, poderia ser uma sanção desproporcional para uma empresa, que atue de maneira geral regularmente e que já se encontre em dificuldades financeiras e tenha como principal fonte de renda o tratamento de dados. Note-se, contudo, que os parâmetros e critérios dispostos na Lei não devem ser usados de maneira isolada, mas combinados uns com os outros. Assim, a aplicação da sanção deve levar em consideração também fatores como o grau do dano e a gravidade da infração. Portanto, é possível Página 43 de 114 que uma empresa, mesmo que se encontre em dificuldades financeiras, venha a receber uma sanção acentuada a depender da gravidade de sua infração. Alternativa F – Considerar a condição econômica como critério geral e norteador É possível considerar a condição econômica como um fator abrangente e genérico, que não tome a forma de um critério ou parâmetro específico. Nesse sentido, outros fatores econômicos e financeiros já são considerados, como a vantagem auferida, o faturamento do infrator (se houver) e a proporcionalidade entre a gravidade da falta e a intensidade da sanção. Assim, a condição econômica funcionaria como um norteador junto com outros parâmetros e critérios. 8.4.4 MODELO ESCOLHIDO E JUSTIFICATIVA Conforme já colocado, um aspecto da condição econômica do infrator já é considerado na aplicação da multa, tendo em vista que ela é um percentual aplicado sobre o faturamento da empresa quando o infrator tiver faturamento. Contudo, a condição econômica é mais ampla e pode considerar os passivos, ativos e lucro do agente, assim como a relação entre essas medidas. Todas as opções regulatórias descritas acima são válidas. Assim, deve-se optar por aquela mais adequada ao modelo escolhido para cálculo de dosimetria da multa. Entende-se que não é necessário considerá-la no cálculo do valor base da multa (Alternativa A) porque o faturamento já é considerado no valor base da multa, refletindo a condição econômica do infrator. Em relação às outras opções regulatórias, entende-se que a modulação da multa (Alternativa D) já será feita quando se levar em consideração a proporcionalidade entre a gravidade da falta e a intensidade da sanção (no art. 52, §1º, inc. XI). Já a consideração da condição econômica como agravante (Alternativa C) não parece ser adequada, tendo em vista que nem sempre uma infração à LGPD implicará em aumento de lucro para o agente de tratamento. De todo modo, mesmo que seja o caso do agente ter aumentado seu lucro ao infringir a LGPD, esse ganho já é considerado pelo art. 52, §1º, inc. III, que estabelece que a vantagem auferia ou pretendida deve também ser levada em consideração na aplicação de sanção. Esse parâmetro é abordado em seção específica deste Relatório, motivo pelo qual não será tratado em detalhes nesta seção. Considerá-la como uma atenuante (Alternativa B) também não parece adequado, já que a única circunstância de aplicação desta atenuante seria em caso de recuperação judicial, situação o em que geralmente já são estabelecidos descontos para pagamento de multas. Página 44 de 114 Assim, sugere-se considerar a condição econômica do infrator como um critério geral e norteador, conforme a Alternativa F, tendo em vista a variedade de situações econômicas do infrator com que a ANPD pode se deparar. Ela pode ser usada em conjunto com o critério de proporcionalidade (art. 52, §1º, inc. XI) e, também, poderá ser considerada nos critérios para seleção da sanção a ser aplicada. Nesse sentido, sugere-se que medidas corretivas, multa diária, bloqueio e eliminação de dados pessoais, suspensão parcial do funcionamento do banco de dados, suspensão do exercício da atividade de tratamento e proibição parcial ou total de atividades, dispostos respectivamente nos incisos I, III, V, VI, X, XI e XII do art. 52 da LGPD, levem em consideração a condição econômica do infrator. Por exemplo, a sanção de suspensão do exercício da atividade de tratamento por um longo período pode inviabilizar a continuidade de uma empresa, principalmente nos casos em que a sua principal fonte de renda seja a atividade de tratamento de dados pessoais. Entende-se que medidas corretivas desproporcionais ao porte da empresa também devem ser evitadas. Uma multa diária desproporcional à condição econômica da empresa, no caso, também pode afetar significativamente sua saúde financeira. Por isso, a condição econômica do infrator deve ser considerada não só no cálculo da multa, mas também na modulação das demais sanções disponíveis. Contudo, reforça-se que a gravidade da infração também é considerada na aplicação de sanções. Dessa forma, se a empresa, por exemplo, aufere sua receita por meio do tratamento totalmente ilícito de dados pessoais, é possível que sanções mais duras sejam aplicadas, mesmo que elas venham a comprometer a saúde financeira da empresa. 8.4.5 OPERACIONALIZAÇÃO Sugere-se que a condição econômica do infrator esteja disposta na norma de dosimetria de forma geral, como parâmetro norteador da aplicação de sanções e especificamente na aplicação de multa diária. Conforme visto, não há necessidade de prever um parâmetro específico relacionado a esse fator para o cálculo da multa simples, já que a multa já é calculada com base no faturamento do agente de tratamento, quando houver. Outros fatores financeiros e econômicos também são considerados em outros parâmetros e critérios, como a vantagem auferida ou pretendida (art. 52, §1º, inc. III) e a proporcionalidade ente a gravidade da falta e a intensidade da sanção (art. 52, §1º, inc. XI). Página 45 de 114 8.5 REINCIDÊNCIA 8.5.1 INTRODUÇÃO E PROBLEMA A LGPD traz a reincidência como parâmetro ou critério a ser utilizado pela autoridade nacional quando da aplicação de sanções administrativas. No entanto, a lei não deixou de forma expressa se a reincidência deve ser utilizada em lato sensu ou stricto sensu, ou seja, se o cometimento de nova infração por agente regulado, depois de transitar em julgado o processo administrativo que o tenha condenado por infração anterior, deve ser de mesma natureza, de natureza diversa ou de qualquer natureza (igual ou distinta da anterior). Assim, a ANPD deve se debruçar sobre a definição do termo reincidência trazido pela LGDP. 8.5.2 EXPERIÊNCIA NACIONAL E INTERNACIONAL No que concerne a experiências nacionais relacionadas à reincidência, cabe esclarecer que foram identificadas duas abordagens em diferentes órgãos da administração pública: (i) reincidência em gênero; e (ii) reincidência em espécies. A seguir, elencamos as previsões previstas em legislações das agências reguladoras e demais órgãos. A Lei nº 10.233, de 5 de junho de 2001, da ANTAQ, prevê a obrigatoriedade de se considerar a reincidência na aplicação da sanção, trazendo a sua definição em seu parágrafo único: Art. 78-D. Na aplicação de sanções serão consideradas a natureza e a gravidade da infração, os danos dela resultantes para o serviço e para os usuários, a vantagem auferida pelo infrator, as circunstâncias agravantes e atenuantes, os antecedentes do infrator e a reincidência genérica ou específica. Parágrafo único. Entende-se por reincidência específica a repetição de falta de igual natureza. Assim, a ANTAQ, em sua Resolução nº 6/2016, regulamentou o trazido pela referida lei, trazendo definições mais específicas para os tipos de reincidência: Art. 47. As infrações administrativas serão punidas com as seguintes sanções: (…) §2º. As penalidades de suspensão, cassação, declaração de inidoneidade e declaração de caducidade devem ser aplicadas em caráter excepcional, quando os antecedentes do infrator, a natureza ou a gravidade da infração indicarem a ineficácia de outras sanções para a correção das irregularidades, observado o disposto nos artigos 78- G, 78-H, 78-I e 78-J da Lei nº 10.233, de Página 46 de 114 5 de junho de 2001. (…) Art. 52. A gravidade da infração administrativa será aferida pelas circunstâncias agravantes e atenuantes previstas neste artigo, cuja incidência pode ser cumulativa, sem prejuízo de outras circunstâncias que venham a ser identificadas no processo. (…) §4º Verifica-se a reincidência genérica quando o infrator comete nova infração de tipificação legal ou regulamentar distinta daquela aplicada nos três anos anteriores em função de decisão administrativa condenatória irrecorrível. §5º. Verifica-se a reincidência específica quando o infrator comete nova infração de idêntica tipificação legal ou regulamentar aplicada nos três anos anteriores em função de decisão administrativa condenatória irrecorrível. Por sua vez, a Lei nº 7.565, de 19 de dezembro de 1986, dispôs sobre a possibilidade de aplicação de sanção mais gravosa quando da reincidência pelo infrator: Art. 298. A empresa estrangeira de transporte aéreo que opere no País será sujeita à multa e, na hipótese de reincidência, à suspensão ou cassação da autorização de funcionamento no caso de não atender: (…) A Anac regulamentou a aplicação das sanções, da referida lei prevendo a reincidência como circunstância agravante: Art. 36. Na dosimetria da aplicação de sanções serão consideradas as circunstâncias atenuantes e agravantes. (…) § 4º Ocorre reincidência quando houver o cometimento de nova infração no período de tempo igual ou inferior a 2 (dois) anos contados a partir do cometimento de infração anterior de natureza idêntica para a qual já tenha ocorrido a aplicação de sanção definitiva. O Decreto nº 2.335, de 6 de outubro de 1997, estabeleceu que a Aneel, para os casos de reincidência, poderá aplicar multas em múltiplos, nos termos de sua regulamentação: Art. 17. A ANEEL adotará, no âmbito das atividades realizadas pelos agentes do setor de energia elétrica, em conformidade com as normas regulamentares e os respectivos contratos, as seguintes penalidades a serem aplicadas pela fiscalização: (…) II – multas em valores atualizados, nos casos previstos nos regulamentos ou nos contratos, ou pela reincidência em fato que tenha gerado advertência escrita; Página 47 de 114 (…) IV – intervenção administrativa, nos casos previstos em lei, no contrato, ou em ato autorizativo, em caso de sistemática reincidência em infrações já punidas por multas; (…) § 4º As multas serão graduadas segundo a natureza e a gravidade das infrações e aplicadas em múltiplos, conforme dispuser o respectivo regulamento da ANEEL, nos casos de reincidência, podendo ser cumuladas com outras penalidades. Neste sentido, a RN nº 846/2019 da Aneel prevê o seguinte: Art. 23. O valor base da multa será acrescido, nos percentuais abaixo, caso incidam as seguintes circunstâncias agravantes: (…) § 1º Considera-se: I – antecedente: registro de qualquer penalidade imposta pela Agência ao infrator, nos últimos quatro anos anteriores à lavratura do AI, das quais não caiba recurso na esfera administrativa; e II – reincidência específica: repetição, em até dois anos, de falta enquadrada no mesmo tipo infracional de decisão condenatória definitiva na esfera administrativa. Por sua vez, o Decreto nº 6.590, de 1º de outubro de 2008, que dispõe sobre o procedimento administrativo para aplicação de penalidades por infrações cometidas nas atividades cinematográfica e videofonográfica e em outras atividades a elas vinculadas (Decreto nº 6.590/2008) determina que a Ancine deve considerar a reincidência quando ocorrer uma nova infração após o infrator já ter sido punido por outra decisão administrativa: Art. 14. Para a determinação da multa, o agente público levará em consideração as conseqüências da infração para a indústria cinematográfica e videofonográfica no Brasil, a situação econômica do infrator e a reincidência. § 1º Verifica-se reincidência quando o infrator cometer nova infração, ainda que decorrente de conduta ilícita diversa da anterior, depois de ter sido punido anteriormente por decisão administrativa definitiva, salvo se decorridos dois anos do cumprimento da respectiva punição. Em igual teor prevê a Instrução Normativa nº 109/2012 da Ancine: Art. 19. Para a determinação da multa, o agente público levará em consideração as consequências da infração para a indústria cinematográfica e videofonográfica no Brasil, a situação econômica do infrator e a reincidência. Página 48 de 114 § 1º Para os fins deste capítulo, verifica-se a reincidência quando o infrator cometer nova infração, ainda que decorrente de conduta ilícita diversa da anterior, depois de ter sido punido anteriormente por decisão administrativa definitiva, salvo se decorridos dois anos do cumprimento da respectiva punição. Já a Lei nº 9.472, de 16 de julho de 1997, prevê que a Anatel, quando da aplicação de sanções administrativas, deverá considerar os antecedentes e a reincidência específica do infrator: Art. 176. Na aplicação de sanções, serão considerados a natureza e a gravidade da infração, os danos dela resultantes para o serviço e para os usuários, a vantagem auferida pelo infrator, as circunstâncias agravantes, os antecedentes do infrator e a reincidência específica. Parágrafo único. Entende-se por reincidência específica a repetição de falta de igual natureza após o recebimento de notificação anterior. Neste sentido, o RASA da Anatel definiu mais detalhadamente o termo reincidência, sendo repetição de falta de igual natureza, no período de 5 (cinco) anos contado do trânsito em julgado administrativo do processo administrativo sancionador, até a data do cometimento da nova infração: Art. 2º. Para fins deste Regulamento aplicam-se as seguintes definições: (…) VIII – reincidência específica: repetição de falta de igual natureza, no período de 5 (cinco) anos contado do trânsito em julgado administrativo do Pado, até a data do cometimento da nova infração; Já a Lei nº 6.385, de 7 de dezembro de 1976, dispôs que a CVM deverá triplicar o valor da sanção de multa quando da ocorr6encia de reincidência pelo infrator: Art. 11. A Comissão de Valores Mobiliários poderá impor aos infratores das normas desta Lei, da Lei nº 6.404, de 15 de dezembro de 1976 (Lei de Sociedades por Ações), de suas resoluções e de outras normas legais cujo cumprimento lhe caiba fiscalizar as seguintes penalidades, isoladas ou cumulativamente: (…) § 1º A multa deverá observar, para fins de dosimetria, os princípios da proporcionalidade e da razoabilidade, a capacidade econômica do infrator e os motivos que justifiquem sua imposição, e não deverá exceder o maior destes valores: § 2º Nas hipóteses de reincidência, poderá ser aplicada multa de até o triplo dos valores fixados no § 1º deste artigo. Página 49 de 114 Adicionalmente, a Lei nº 13.506, de 13 de novembro 2017, determinou que a CVM considere a reincidência como critério ou parâmetro para aplicação das penalidades: Art. 10. Na aplicação das penalidades estabelecidas neste Capítulo, serão considerados, na medida em que possam ser determinados: (…) VI – a reincidência; (…) Assim sendo, a CVM aprovou a Instrução nº 607/2019, regulamentando a questão: Art. 65. São circunstâncias agravantes, quando não constituem ou qualificam a infração: (…) § 3º Ocorrerá reincidência quando o agente comete nova infração depois de ter sido punido por força de decisão administrativa definitiva, salvo se decorridos 5 (cinco) anos do cumprimento da respectiva punição ou da extinção da pena. No que se refere à ANS, a Lei nº 9.961, de 28 de janeiro de 2000, que criou a ANS (Lei nº 9.961/2000), e Lei nº 9.656, de 3 de junho de 1998, que dispõe sobre os planos e seguros privados de assistência à saúde, não utilizam reincidência. No entanto, a RN nº 489/2022, dispõe: Art. 17. Verifica-se a reincidência quando o agente regulado comete nova infração de mesmo tipo da infração anteriormente punida, cuja decisão tenha transitado em julgado. §1º Ocorrerá a reincidência quando, entre a data do trânsito em julgado e a data da prática da infração posterior, houver decorrido período de tempo não superior a 1 (ano) ano. Já a Lei nº 10.233, de 5 de junho de 2001, determina o conceito a ser adotado pela ANTT quanto a reincidência: Art. 78-D. Na aplicação de sanções serão consideradas a natureza e a gravidade da infração, os danos dela resultantes para o serviço e para os usuários, a vantagem auferida pelo infrator, as circunstâncias agravantes e atenuantes, os antecedentes do infrator e a reincidência genérica ou específica. Parágrafo único. Entende-se por reincidência específica a repetição de falta de igual natureza. A Resolução nº 233/2003 da ANTT apresenta mais detalhes sobre como a reincidência será considerada no cálculo da multa, nos seguintes termos: Página 50 de 114 Art. 3º Na forma prevista no regulamento que disciplina o processo administrativo para apuração de infrações, na aplicação das multas de que trata esta Resolução deverá ser observada a ocorrência de reincidência genérica ou específica. Parágrafo único. Na reincidência genérica, o valor da multa será acrescido em 30% (trinta por cento) e na reincidência específica, o valor será acrescido em 50% (cinqüenta por cento). Continuamente, a Resolução nº 5.083, de 27 de abril de 2016, que aprova o processo administrativo para apuração de infrações pela ANTT, diz o seguinte: Art. 65. Nos casos em que houver previsão legal, regulamentar ou contratual para a aplicação da penalidade de suspensão, cassação, decretação de caducidade da outorga ou declaração de inidoneidade, a Diretoria Colegiada da ANTT poderá, alternativamente, aplicar a pena de multa considerando a natureza e a gravidade da infração, os danos dela resultantes para o serviço e para os usuários, a vantagem auferida pelo infrator, as circunstâncias agravantes e atenuantes, os antecedentes do infrator e a reincidência. (…) Art. 67. Para efeitos de aplicação de penalidades serão sempre consideradas as circunstâncias agravantes ou atenuantes, inclusive os antecedentes e a reincidência, atentando-se, especialmente, para a natureza e a gravidade da infração, para os danos resultantes para os serviços e para os usuários e para a vantagem auferida pelo infrator. (…) §3º Ocorre reincidência quando o agente comete nova infração legal, regulamentar ou contratual, que tiver o mesmo fato gerador, depois de ter sido punido anteriormente por força de decisão definitiva, salvo se decorridos três anos, pelo menos, do cumprimento da respectiva punição. No que se refere à CGU, o Enunciado nº 25, de 23 de janeiro de 201928 prevê que a reincidência da Lei nº 8.112, de 11 de dezembro de 1990, é a genérica, conforme texto a seguir: INFRAÇÕES DISCIPLINARES – REINCIDÊNCIA. A reincidência prevista na Lei n º 8.112, de 11 de dezembro de 1990, é a genérica. 8.5.3 OPÇÕES REGULATÓRIAS 8.5.3.1 Definição Após levantamento das informações, foi debatido sobre a definição de reincidência trazida na LGPD. Foram levantadas as seguintes hipóteses: (i) utilizar as espécies de reincidências genérica 28 CONTROLADORIA GERAL DA UNIÃO. Enunciado nº 95/2019. Disponível em: https://repositorio.cgu.gov.br/handle/1/44285. Acesso em 06 abr. 2022. Página 51 de 114 e específica; e (ii) interpretar que a LGPD elenca a reincidência como critério rígido a ser seguido, não havendo possibilidade de se utilizar quaisquer espécies. Alternativa 1.A – Reincidência como espécie (específica e genérica) Na primeira opção regulatória, a ANPD poderia utilizar como critério para aplicação da sanção a reincidência específica, que seria o cometimento de nova infração, dentro de um determinado período, de idêntica tipificação legal ou regulamentar cuja decisão já tenha sido transitada em julgado administrativamente. A reincidência genérica seria o cometimento de nova infração, dentro de um determinado período, de tipificação legal ou regulamentar distinta cuja decisão tenha transitado em julgado. Alternativa 1.B – Reincidência como gênero Na segunda possibilidade, a reincidência seria o cometimento de nova infração dentro de um período contado a partir do cometimento de infração anterior de natureza idêntica ou diversa, cuja decisão tenha transitado em julgado administrativamente. Assim, a ANPD utilizaria o gênero, não havendo distinção entre as espécies. 8.5.3.2 Utilização Quanto à utilização da reincidência na aplicação das sanções administrativas, foram avaliadas 3 (três) possibilidades: (i) como critério; (ii) como parâmetro; (iii) como critério e parâmetro. Alternativa 2.A – Reincidência como critério Na primeira alternativa, a reincidência seria usada como um critério para a definição de sanções administrativas. Nesta opção, a autoridade nacional teria a vantagem de escalonar, de forma gradual, o tipo de sanção administrativa a ser aplicada. Como desvantagem, ao ter o tipo de sanção já determinado para o caso concreto, a reincidência não poderia ser considerada como parâmetro, deixando o histórico do infrator de lado quando da dosimetria da sanção. Alternativa 2.B – Reincidência como parâmetro Na segunda opção regulatória, ao se utilizar a reincidência como parâmetro, a ANPD usaria o histórico do infrator para agravar a dosimetria da sanção administrativa. No entanto, não seria possível fazer um escalonamento gradual da tipologia de sanção. Alternativa 2.C – Combinação das Alternativas 2.A e 2.B A terceira opção é híbrida, convergindo as duas possibilidades anteriores. A ANPD poderia usar a reincidência como critério e, ao mesmo tempo, como parâmetro. Página 52 de 114 8.5.4 MODELO ESCOLHIDO E JUSTIFICATIVA Considerando as alternativas apresentadas como solução para a definição de reincidência, identificou-se que, em razão dos desafios e benefícios elencados para cada um dos grupos afetados, que a Alternativa 1.A, ou seja, utilizar a reincidência como espécie, é a mais adequada para endereçar o tema. Isso porque a ANPD conseguiria graduar de forma diferenciada o cometimento repetitivo de infrações de mesma natureza daquela de natureza diversa, trazendo uma maior graduação da sanção pelo cometimento reiterado de infração de mesma natureza pelo infrator. Ao se utilizar somente a reincidência como gênero, a aplicação de sanção não conseguiria diferenciar infração de mesma natureza daquela de natureza diversa, tendo ambas o mesmo peso. Especificamente sobre as alternativas apresentadas para endereçar o problema da utilização da reincidência na dosimetria da sanção, a Alternativa 2.C é aquela que traz maior assertividade na aplicação da sanção, uma vez que possibilita a adoção gradual dos tipos de sanções descritas na LGPD, podendo a ANPD escalonar o tipo de sanção a ser aplicada quando da reincidência, bem como fazer uso do histórico do infrator para realizar a dosimetria da sanção, agravando a sanção a ser inicialmente imposta. 8.5.5 OPERACIONALIZAÇÃO Para operacionalizar a adoção das Alternativas escolhidas, a ANPD deverá trazer as definições das espécies de reincidência na proposta normativa, atentando-se para não fazer uso do mesmo fato como diferentes espécies, evitando-se, assim, o bis in idem. Para tanto, a proposta normativa deve definir a reincidência específica como sendo a repetição pelo mesmo infrator ao mesmo dispositivo legal ou regulamentar, no período de 2 (dois) anos contado do trânsito em julgado do processo administrativo sancionador, até a data do cometimento da nova infração. A reincidência genérica é aquela cujo registro de sanção administrativa imposta pela ANPD, independentemente do dispositivo legal ou regulamentar, precede em prazo não superior a 3 (três) anos a nova infração, contados do trânsito em julgado administrativo daquele processo sancionador, excluído o caso de reincidência específica. Para a definição e dosimetria da sanção são consideradas tanto a reincidência genérica quanto a específica. No entanto, para evitar o bis in idem, o mesmo registro de sanção não pode ser utilizado como reincidência específica e genérica na aplicação da sanção. Na hipótese de haver registros computáveis a título de reincidência específica além do suficiente para a incidência do Página 53 de 114 percentual máximo de agravamento previsto na proposta normativa, os excedentes deverão ingressar na categoria de reincidência genérica. Adicionalmente, a proposta normativa pode utilizar a reincidência específica para afastar a possibilidade de aplicação da sanção de advertência para as infrações classificadas como leve, objetivando fomentar a não repetição de falta de igual natureza pelo agente de tratamento, mediante escalonamento da pirâmide sancionatória. Ainda, a proposta estabelece que a sanção de proibição do exercício de atividades relacionadas a tratamento de dados pessoais poderá ser aplicada, nos casos em que houver reincidência em infração punida com suspensão parcial do funcionamento do banco de dados ou suspensão do exercício da atividade de tratamento dos dados pessoais. Para os casos que ensejam a aplicação da sanção de multa ou de suspensão, a proposta normativa pode considerar ambas as reincidências como circunstâncias agravantes, de modo que a pena base seja acrescida em 10% (dez por cento) para cada caso de reincidência específica, até o limite de 40% (quarenta por cento), e 5% (cinco por cento) para cada caso de reincidência genérica, até o limite de 20% (vinte por cento). 8.6 GRAU DO DANO 8.6.1 INTRODUÇÃO E PROBLEMA O grau do dano pode ser definido como o impacto e a relevância dos prejuízos ou da expressividade da lesão ao bem jurídico produzidos por ação ou omissão do infrator. A LGPD, quando trata da responsabilidade e do ressarcimento de danos, mais especificamente em seu art. 42, determina que o agente de tratamento que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo. Após a ocorrência do ato infracional, cabe à Administração Pública realizar uma análise do dano decorrente desta conduta, da lesão ao bem jurídico tutelado, mediante avaliação do prejuízo causado pelo ato. Cabe destacar que, mesmo ausente o dano material ao titular de dados pessoais, a ordem pública, a eficiência e o bom funcionamento do serviço público podem ter sofrido abalo com a prática de determinada conduta, trazendo consequências diretas ou indiretas para a Administração Pública, o que também precisa ser mensurado. Assim, a ANPD deve se debruçar sobre a definição do grau do dano trazido pela lei. Página 54 de 114 8.6.2 EXPERIÊNCIA NACIONAL E INTERNACIONAL A Anatel, por exemplo, classifica o dano na Portaria nº 791, de 26 de agosto de 2014, que dispõe sobre a metodologia de cálculo do valor base das sanções de multa relativa a descumprimentos a direito dos Usuários previstas na regulamentação por meio de condutas: Tabela 2 – Condutas para classificação do parâmetro D na metodologia da Anatel CONDUTA 1 2 3 4 5 10 a) Lesão ou ameaça à integridade física x x b) Danos materiais, inclusive cobrança indevida x x c) Negativa de atendimento x x x d) Omissão de informação x x x e) Informação errônea ou que induza o usuário a erro x x x f) Infração sem prejuízo perceptível x x g) Oferta discriminatória x x h) Impedimento ou dificuldade à fruição do serviço sem culpa do Usuário x x x i) Desrespeito a regras de sigilo x x j) Venda casada x x x k) Impedimento ou dificuldade para o exercício de direito. x x x l) Inserção indevida em cadastros de devedores x x Fonte: Portaria nº 791, de 26 de agosto de 2014 Relativamente ao dano, as circunstâncias mais leves somente serão consideradas caso a conduta não se enquadre também em uma mais gravosa. Caso a situação fática não se amolde a nenhuma das condutas elencadas na tabela acima, a área responsável a enquadrará com base nos princípios legais e diretrizes regulatórias. Por fim, caso seja evidenciadas situações de calamidade pública, segurança nacional, ou que haja expressivo impedimento ou dificuldade à fruição do Serviço de Utilidade Pública ou a Serviço Público de Emergência, o dano poderá alcançar o valor igual a 10 (dez). Ressalte-se que a existência de valores diferenciados para um determinado tipo de dano tem o objetivo de possibilitar ao aplicador da sanção a valoração, no caso concreto, da conduta decorrente da infração, considerando que, dentro dos tipos listados na tabela, é possível diferenciar a reprovabilidade da infração de acordo com a intensidade do dano provocado. Por sua vez, a CGU realiza a graduação do dano a depender do prejuízo provocado, podendo ser pontuado de 0 a 21 e tendo quatro níveis: inexistente, com pontuação 0, leve, cuja pontuação pode ser de 1 a 7, médio, com a pontuação de 8 a 14, ou grave, cuja valoração é de 15 a 21. O valor Página 55 de 114 a ser atribuído dependerá do prejuízo material ou imaterial decorrente do ilícito administrativo. Quanto mais relevante, ou seja, nocivo o dano, maior o peso a ser conferido a este critério. Considera que o montante do dano ao erário, ainda que expressivo, não poderá́ , por si só́ , ser elemento para caracterizar o erro grosseiro ou o dolo. Relativamente à experiência internacional, o RGPD estabelece, em seu art. 83 (2) (a), que as multas administrativas devem ser aplicadas considerando a natureza, a gravidade e a duração da infração levando em conta o escopo ou finalidade, bem como o número de titulares de dados afetados e o grau de dano a eles causado. Desta forma, o grau do dano é diretamente associado à gravidade e à natureza da infração. O ICO, autoridade do Reino Unido, no documento intitulado Statutory guidance on our regulatory action29 , considera no primeiro passo para cálculo da multa, quando decide sobre a gravidade da infração, deixando claro que tal critério inclui perigo ou embaraço. 8.6.3 OPÇÕES REGULATÓRIAS Após levantamento de informações sobre as experiências nacionais e internacionais, foram aventadas 2 (duas) alternativas para definir o grau do dano, quais sejam: (i) como critério; e (ii) como parâmetro. Alternativa A – Grau do dano como critério A Alternativa A considera o grau do dano como critério para definição da sanção, diferenciando a reprovabilidade da infração de acordo com a intensidade do dano provocado. Nesta opção regulatória, o grau do dano é associado à classificação da conduta em função da gravidade e da natureza para fins de escolha do tipo de sanção administrativa a ser aplicada. Alternativa B – Grau do dano como parâmetro Já na Alternativa B, o grau do dano é dissociado à gravidade e à natureza das infrações e dos direitos pessoais afetados para definição classificação da infração, devendo ser analisada separadamente,sendo considerada como parâmetro da sanção, mediante análise de risco ao titular de dados e à Administração Pública. Nesta opção, os conceitos de gravidade e de grau do dano não se confundem, devendo ser analisados e mensurados de forma dissociada. 29 INFORMATION COMMISSIONER’S OFFICE. Op cit. Página 56 de 114 8.6.4 MODELO ESCOLHIDO E JUSTIFICATIVA A Alternativa B traz a melhor opção regulatória, uma vez que grau do dano e gravidade, embora possam ser correlacionados, são conceitos distintos, devendo ser analisados separadamente. Mesmo que uma infração específica seja classificada como de natureza grave, é possível, na dosimetria da sanção a ser aplicada, aferir o grau do dano causado pelo agente infrator no caso concreto. Assim, na classificação de uma infração em leve, média ou grave pode-se considerar a gravidade e a natureza da conduta, ao passo que o dano causado pode ser avaliado de modo apartado, quando da valoração da sanção. A adoção desta opção regulatória tem por objetivo trazer certa proporcionalidade na aplicação da sanção administrativa, uma vez que o prejuízo causado pela conduta do agente regulado irá balizar a valoração da sanção a ser aplicada, mesmo diante de uma conduta realizada de forma deliberada, intencional, ou até mesmo diante de infrações que gerem maiores riscos à privacidade, às liberdades civis e aos direitos fundamentais. Assim, uma infração classificada como leve pode resultar em um dano alto. Em sentido contrário, uma conduta grave pode acarretar um dano de menor potencial, a depender do caso concreto. 8.6.5 OPERACIONALIZAÇÃO Para operacionalizar a escolha regulatória, a ANPD considerará o grau do dano como parâmetro para dosimetria da sanção administrativa de multa e de multa diária. Ao operacionalizar esta opção, a ANPD deve considerar o grau do dano como um parâmetro de proporcionalidade para adequar a sanção de acordo com os prejuízos e os impactos causados pela conduta do infrator. Ou seja, para os casos em que a infração seja classificada como leve e não tenha prejuízo ou ele seja negligenciável, o valor da sanção de multa deve ser o mínimo estabelecido. De forma contrária, quando a infração e o impacto trazido pela conduta infrativa forem graves, a ANPD deve aplicar o valor máximo previsto. Ressalta-se que, para tanto, o grau do dano causado pela conduta infrativa deve observar o contexto fático e as particularidades de cada caso, não se podendo utilizar circunstâncias ou argumentos genéricos para valorar o grau do dano. Para fins de valoração da sanção de multa simples ou diária, a proposta normativa considera como critérios os danos resultantes – patrimonial e/ou moral; individual ou coletivo, além de prejuízos causados à Administração Pública. O grau do dano se restringe apenas ao exame do dano Página 57 de 114 qualitativo, ou seja, análise do quanto cada titular ou grupo de titulares de dados pessoais é afetado por uma infração, independentemente da quantidade de titulares atingidos. Desta maneira, a metodologia determina diferentes níveis para os graus do dano. Tabela 3 – Grau do dano Valor Grau do Dano 3 Titulares de dados pessoais podem sofrer inconvenientes significativos ou irreversíveis, como discriminação, dano físico, perda econômica, de dignidade, de autodeterminação ou de confiança; ou Litigância de má-fé ou impedimento da atuação da ANPD ou envio de informações inverídicas ou que possam levar a uma interpretação equivocada dos fatos. 2 Titulares de dados pessoais podem sofrer inconvenientes importantes, porém superáveis com muita dificuldade; ou Envio de informações intempestivas ou descumprimento intempestivo com prejuízo para o processo de fiscalização ou administrativo sancionador ou para terceiros. 1 Titulares de dados pessoais podem sofrer inconvenientes importantes, mas superáveis com certa dificuldade; ou Envio ou disponibilização de informações ou descumprimento de determinação fora dos prazos ou condições estabelecidos pela ANPD, sem prejuízo para o processo ou para terceiros. 0 Titular de dados pessoais podem não sofrer inconvenientes ou sofrer inconvenientes negligenciáveis ou superáveis sem dificuldade. Fonte: Elaboração pela equipe da Coordenação-Geral de Normatização 8.7 COOPERAÇÃO DO INFRATOR 8.7.1 INTRODUÇÃO E PROBLEMA A cooperação do infrator está prevista como parâmetro e critério a ser considerado na aplicação das sanções no art. 52, § 1º, inciso VII da LGPD. O entendimento de cooperação é estreitamente relacionado ao princípio da boa-fé objetiva tratado anteriormente, pois desta compreensão emergem deveres gerais de conduta, entre os quais a cooperação. Ambos se constituem em decorrência lógica do sistema constitucional brasileiro e associam-se a um comportamento concreto em uma relação jurídica. O dever de cooperação dos agentes de tratamento se concretiza em diversos dispositivos da LGPD, como, por exemplo, na facilitação das requisições dos titulares, na indicação de encarregado, na obrigação de comunicar à autoridade nacional e ao titular a ocorrência de incidente de segurança Página 58 de 114 que possa acarretar risco ou dano relevante e no dever de tomar providências para reverter ou mitigar os efeitos dos danos causados nesses casos. Assim, cabe à autoridade nacional definir o momento e a forma em que a o dispositivo deverá ser considerado em sua atividade sancionadora de forma a prover previsibilidade e segurança jurídica aos regulados. 8.7.2 EXPERIÊNCIA NACIONAL E INTERNACIONAL No ordenamento jurídico nacional, foi possível identificar a cooperação do infrator encontrase claramente a deferência à cooperação do infrator para aplicação de sanções na Lei nº 12.846/13 (Lei Anticorrupção): Art. 7º Serão levados em consideração na aplicação das sanções: (…) VII – a cooperação da pessoa jurídica para a apuração das infrações; (…) Neste caso específico, em conjunto com o inciso VIII do mesmo artigo (VIII – a existência de mecanismos e procedimentos internos de integridade, auditoria e incentivo à denúncia de irregularidades e a aplicação efetiva de códigos de ética e de conduta no âmbito da pessoa jurídica), a lei privilegia a boa-fé pelo esforço e intenção do autuado na prevenção do cometimento de ilícitos por seus funcionários. A atividade regulatória, por sua vez, traz como circunstâncias atenuantes a serem consideradas na aplicação de sanções diversos dispositivos que, sozinhos ou em conjunto, se enquadram como aspectos de cooperação. Nesse sentido, a CVM, mediante Instrução nº 607/2019, considera como circunstância atenuante a confissão ou a prestação de informações quanto à materialidade, podendo ser entendido como formas de cooperação do infrator para configurar a autoria e a materialidade do fato: Art. 66. São circunstâncias atenuantes: I – a confissão do ilícito ou a prestação de informações relativas à sua materialidade; (…) § 5º A circunstância atenuante prevista no inciso I do caput deste artigo não deverá ser aplicada na dosimetria da penalidade do acusado que tenha celebrado acordo administrativo em processo de supervisão de que trata o art. 30 da Lei nº 13.506, de 13 de novembro de 2017, quanto aos fatos tratados no processo. Página 59 de 114 A Resolução nº 6/2016 da ANTAQ também elenca algumas formas de cooperação do infrator para fins de aplicação de atenuantes da sanção administrativa: Art. 52. A gravidade da infração administrativa será aferida pelas circunstâncias agravantes e atenuantes previstas neste artigo, cuja incidência pode ser cumulativa, sem prejuízo de outras circunstâncias que venham a ser identificadas no processo. §1º São consideradas circunstâncias atenuantes: I – arrependimento eficaz e espontâneo do infrator, antes da decisão no processo ou de determinação da autoridade competente, pela reparação ou limitação significativa dos prejuízos causados à segurança e à saúde pública, ao meio ambiente, ao serviço, ao patrimônio público, aos usuários ou ao mercado; II – confissão espontânea da infração, antes de sua identificação pela ANTAQ; III – comunicação prévia pelo infrator do perigo iminente contra a segurança ou o meio ambiente; IV – prestação de informações verídicas e relevantes relativas à materialidade da infração; e (…). Já a RN nº 846/2019 da Aneel prevê o seguinte: Art. 24. Do valor da multa calculado na forma do art. 23, serão deduzidos os percentuais abaixo, de forma não cumulativa, caso incidam as seguintes circunstâncias atenuantes: I – 95% (noventa e cinco por cento), no caso de cessação espontânea da infração e reparação total do dano ao serviço e aos consumidores ou usuários, previamente à comunicação formal do agente quanto à realização de ação de fiscalização ou da lavratura de Termo de Notificação – TN decorrente de processo de monitoramento e controle; ou II – 50% (cinquenta por cento), no caso de cessação da infração e reparação total do dano ao serviço e aos consumidores ou usuários, até o fim do prazo estabelecido para manifestação ao TN. Parágrafo único. Para consideração das circunstâncias atenuantes na definição do valor da multa, a cessação da infração e a reparação dos danos causados ao serviço e aos consumidores ou usuários devem ser comprovadas à Fiscalização previamente à lavratura do AI. Por fim, a Resolução nº 472/2018 da Anac prevê que a adoção voluntária de providências como uma circunstância atenuante: Art. 36. Na dosimetria da aplicação de sanções serão consideradas as circunstâncias atenuantes e agravantes. § 1º São circunstâncias atenuantes: I – o reconhecimento da prática da infração; Página 60 de 114 II – a adoção voluntária de providências eficazes para evitar ou amenizar as consequências da infração antes de proferida a decisão; e (…) No cenário internacional, o RGPD determina no art. 83(f) que seja considerado, na aplicação de penalidades, o grau de cooperação com a autoridade supervisora a fim de reparar a infração e minimizar seus possíveis efeitos adversos, sem detalhar ou especificar ações que poderão ser enquadradas nesse caso. Em documento com diretrizes para aplicação de sanções30, a União Europeia entende que o critério deveria ser geralmente aplicado para o cálculo do valor da multa a ser imposta, mas que, nos casos em que a intervenção do controlador limitou o impacto ou mesmo evitou danos que poderiam ter ocorrido, o grau de cooperação poderá ser considerado na escolha da medida corretiva proporcional ao caso concreto. Destaca-se, no documento, a percepção de que não seria adequado valorar a cooperação que já é exigida por lei, como, por exemplo, a permissão pela empresa de acesso da autoridade supervisora para auditoria ou inspeções. 8.7.3 OPÇÕES REGULATÓRIAS O art. 52, § 1º, da LGPD determina que a autoridade nacional aplicará as sanções administrativas previstas no caput de forma gradativa, isolada ou cumulativa, de acordo com as peculiaridades do caso concreto e considerada, entre os parâmetros e critérios relacionados, a cooperação do infrator (inciso VII). Considerando as definições estabelecidas anteriormente para critério e parâmetro, sendo o primeiro requisito para classificar o tipo de sanção a ser aplicada e o segundo, requisito para valoração da pena, apresentam-se as seguintes opções regulatórias: Alternativa A – Cooperação do infrator como critério Nesta opção regulatória, a cooperação do infrator seria considerada como critério para determinar o tipo de sanção a ser aplicada. Observa-se, contudo, que, apenas sua inobservância poderia ser considerada um critério para determinar a penalidade a ser imposta a uma determinada infração. Alternativa B – Cooperação do infrator como circunstância atenuante 30 UNIÃO EUROPÉIA. WP 253 – Guidelines on the application and setting of administrative fines for the purposes of the Regulation 2016/679. Disponível em https://ec.europa.eu/newsroom/just/document.cfm?doc_id=47889. Acesso em 11 ab. 2022. Página 61 de 114 Nesta segunda opção regulatória, a cooperação do infrator deve ser considerada como parâmetro, ou seja, requisito aplicável para valoração da sanção e, assim, será considerada como circunstância atenuante no cálculo do valor da multa. Alternativa C – Cooperação do infrator como circunstância agravante A ausência da cooperação por parte do infrator será considerada como parâmetro agravante no cálculo do valor da sanção administrativa de multa. 8.7.4 MODELO ESCOLHIDO E JUSTIFICATIVA Por ser a cooperação entendida também como conduta obrigatória do administrado, tais como as relacionadas no art. 4º da Lei nº 9.784, de 29 de janeiro de 1999, que regula o processo administrativo no âmbito da Administração Pública Federal (Lei de Processo Administrativo – LPA)e as relacionadas no art. 5º da Resolução CD/ANPD Nº 1, de 28 de outubro de 2021, que aprova o Regulamento do Processo de Fiscalização e do Processo Administrativo Sancionador da ANPD, o dever de cooperação, quando não observado, representa uma infração e deverá ser avaliado no processo sancionador. Ocorre que, para fins de aplicação de sanções, apenas a cooperação e não seu oposto deverá ser considerada pela ANPD. Entende-se que a Alternativa B na qual a cooperação do infrator será considerada como parâmetro atenuante para aplicação de penalidades, conforme o caso concreto, é a mais adequada. Em referência às diretrizes da União Europeia, observa-se que o RGPD traz, entre os dispositivos a serem considerados para aplicação de sanções, o grau de cooperação, que engloba dimensão mais ampla do dispositivo nacional e pode, portanto, ser considerado como parâmetro para agravar a penalidade a ser imposta a uma determinada infração. Ao optar por incluir apenas a cooperação entre os parâmetros e critérios do art. 52 da LGPD, é possível supor que, aqui também, o legislador buscou valorizar e premiar a observância à lei com vistas à criação de uma cultura de proteção de dados no País. Em paralelo ao que foi observado como opções regulatórias para a boa-fé do infrator, considerada a estreita relação entre os dois dispositivos, faz-se necessário recordar que a estratégia de atuação fiscalizatória adotada pela ANPD está voltada para promover a conformidade e orientar, baseada em risco e com foco em promover melhorias significativas no respeito às normas de proteção de dados pela sociedade. Reconhecer e estimular a adequação à lei, portanto, vai ao encontro da regulação responsiva, alicerce do Regulamento do Processo de Fiscalização da Autoridade. Página 62 de 114 De qualquer forma, o desrespeito ao dever legal de cooperação do administrado não será ignorado por tratar-se de infração administrativa autônoma. 8.7.5 OPERACIONALIZAÇÃO O princípio da cooperação foi consagrado no Código de Processo Civil ao obrigar a colaboração entre a autoridade judicial e as partes do processo para que se alcance uma decisão justa, efetiva e em prazo razoável, amparado pelos fundamentos constitucionais do devido processo legal, da boa-fé processual e do contraditório31 . Na relação processual administrativa, que se respalda nos mesmos fundamentos, o princípio da cooperação é aplicável e traz deveres tanto para o administrado quanto para a Administração Pública. No caso do processo sancionador da ANPD, o parâmetro atenuante da cooperação a ser considerado na aplicação da sanção refere-se, evidentemente, à cooperação do administrado infrator. No âmbito do processo sancionador, portanto, deve-se valorizar a efetiva contribuição do autuado que apresenta informações verídicas e tempestivas para o processo, tendo por base as condutas devidas por lei. Assim, sugere-se que, na avaliação da cooperação do infrator, sejam ponderados os deveres relacionados no art. 4º da LPA e as condutas previstas no art. 5º da Resolução CD/ANPD nº 1, de 2021. O art. 4º da LPA traz um rol exemplificativo de condutas devidas pelo administrado, tais como o dever de veracidade, o dever de lealdade e o dever de informação e colaboração. No mesmo sentido, o Regulamento do Processo de Fiscalização e do Processo Administrativo Sancionador da ANPD, em seu art. 5º, traz uma relação exemplificativa de deveres dos administrados no contexto da fiscalização do órgão. Em razão de sua estreita relação com o princípio da boa-fé, basta que um deles seja verificado no caso concreto para que seja considerado como atenuante e, portanto, ambos poderão ser aplicados de forma alternativa, sendo abordados em um único inciso. Assim, a cooperação do infrator deverá ser aplicada pelo sistema de decréscimo de percentuais no cálculo do valor da sanção de multa ou no período da penalidade e deverá reduzir a pena em 5%, nos mesmos termos do sugerido para a boa-fé, para um agente de tratamento que 31 ARAÚJO, S. C. P. G. D.; BRAGA LIMA, A. P. O Princípio da Cooperação no Âmbito do Processo Administrativo Disciplinar. Revista Digital Constituição e Garantia de Direitos, v. 12, n. 1, 26 set. 2019. Página 63 de 114 tenha cooperado com a Administração Pública durante o processo sancionador para além daquelas condutas já previstas como dever legal, a ser avaliado no caso concreto. 8.8 MECANISMOS E PROCEDIMENTO DE SEGURANÇA 8.8.1 INTRODUÇÃO E PROBLEMA O art. 46 dispõe sobre o dever de os agentes de tratamento adotarem medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito. Conecta-se o art. 46 à expressão “Mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados”, pois é dever do agente de tratamento “adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito”. O agente deve não só adotar reiteradamente esses mecanismos, como também mantê-los atualizados. Deve ser esclarecido que a adoção por si só não satisfaz os comandos legais previstos na Seção I, já que a tecnologia e as vulnerabilidades mudam diariamente. O art. 47 determina que todos os agentes de tratamento envolvidos nas atividades de tratamento de dados pessoais devem observar as devidas salvaguardas de segurança. O art. 48 trata propriamente dos incidentes de segurança e da sua comunicação à ANPD. O parágrafo primeiro do art. 48 trata da forma pela qual deve ser feita a comunicação de incidente de segurança relacionado a dados pessoais. O parágrafo segundo autoriza a ANPD a determinar ao controlador a adoção de providências para a salvaguarda dos direitos dos titulares nos incidentes de segurança. Já o parágrafo terceiro trata da possibilidade de agravamento ou atenuação do incidente se o agente de tratamento adotar solução de anonimização. O art. 9º reitera o previsto no art. 46, alternando a redação para determinar o comando legal de que sistemas utilizados para o tratamento de dados pessoais devem ser estruturados de forma a atender os requisitos de segurança, os padrões de boas práticas e de governança e os princípios gerais previstos na LGPD e às demais normas regulamentares. Atualmente os padrões de referências podem ser exemplificados por aqueles elencados na página da Secretaria de Governo Digital32 . 32 MINISTÉRIO DA ECONOMIA. Disponível em https://www.gov.br/governodigital/pt-br/seguranca-e-protecao-de-dados/melhorespraticas-internacionais. Secretaria de Governo Digital. Acesso em 11 abr. 2022. Página 64 de 114 Outro bom exemplo que pode ser adotado na avaliação da observância dos art. 46 a 49 e na incidência do parâmetro previsto no inciso VIII do § 1º do art. 52 é o Guia de Requisitos e Obrigações quanto à Segurança da Informação e à Privacidade33 , também da Secretaria de Governo Digital. O inciso VIII do § 1º do art. 52, da LGPD, traz diversos conceitos necessários à sua formação como parâmetro de intensidade da aplicação das penalidades. Art. 52 (…) VIII – a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados, em consonância com o disposto no inciso II do § 2º do art. 48 desta Lei; Explora-se, deste ponto em diante, o significado e o impacto de cada expressão disposta no inciso VIII: i. Adoção reiterada e demonstrada A palavra “adoção” indica o uso de forma adequada e eficaz de algo nas rotinas e processos de trabalho do controlador. “Reiterada”, por sua vez, pressupõe que adoção tenha sido feita no mínimo duas vezes, podendo-se compreender que deve se tratar de algo rotineiro A expressão “demonstrada” indica a necessidade de comprovação com evidências, provas, relatórios, laudos e registros de tratamento, por exemplo. ii. Mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados Mecanismos e procedimentos internos indicam padrões de rotinas e soluções adotadas pelos agentes de tratamento para garantir a segurança durante o tratamento de dados pessoais. Atualmente não há padrão adotado como referência pela ANPD. Até que se estabeleça a padronização de referência da Autoridade, entende-se aqui que devem ser aceitas todas as metodologias, mecanismos e procedimentos internos, na medida em que se apoiem em referências de evidente eficácia. A opção de mencionar metodologias ou até mesmo certificações foi baseada na constatação de que a adoção de um mecanismo ou procedimento isolado não satisfaz os requisitos que garantiriam o tratamento seguro e adequado de dados pessoais. 33 MINISTÉRIO DA ECONOMIA. Disponível em https://www.gov.br/governodigital/pt-br/seguranca-e-protecao-dedados/guias/guia_avaliacao_riscos.pdf. Secretaria de Governo Digital. Acesso em 11 abr. 2022. Página 65 de 114 8.8.2 EXPERIÊNCIA NACIONAL E INTERNACIONAL Quanto à experiência internacional, cabe destacar as diversas recomendações internacionais para apoiar a operacionalização da segurança da informação e a governança de dados nas organizações empresariais. Dentre essas recomendações, podem-se destacar as seguintes: (i) Information Technology Infrasructure Library (ITIL): conjunto de regras que define as boas práticas de gestão de serviços de TI; (ii) Control Objectives for Information and Related Technologies (COBIT)34: framework evolutivo de boas práticas de segurança, gestão e governança de TIC criado pela Information Systems Audit and Control Association (ISACA); (iii) Data Management Body of Knowledge35 (DAMA-DMBOK): framework para a gestão e governança de dados; (iv) Norma ABNT NBR ISO/IEC 20000: trata da gestão da qualidade de serviços de tecnologia da informação e comunicação; v) Norma ABNT NBR ISO/IEC série 31000: trata da avaliação e gestão de riscos; (vi) Norma ABNT NBR ISO/IEC série 27000: trata da segurança da informação; (vii) Secure Controls Framework36 (SCF): catálogo de controles que trata de privacidade e segurança. Ademais, cabe destacar a experiência nacional da Secretaria de Governo Digital, conforme citado no texto de análise do problema a ser resolvido, em especial o Guia de Requisitos e Obrigações quanto à Segurança da Informação e à Privacidade. 8.8.3 OPÇÕES REGULATÓRIAS Para solucionar o problema descrito anteriormente, foram avaliadas duas opções regulatórias, sendo a primeira a que trata de adoção de mecanismos como parâmetro e a segunda como critério. Alternativa A – Adoção de mecanismos como critério Nesta opção regulatória, a ANPD deverá considerar a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro 34 INFORMATION SYSTEMS AUDIT AND CONTROL ASSOCIATION. Control Objectives for Information and Related Technologies(COBIT). Estados Unidos. Disponível em: https://www.isaca.org/resources/cobit. Acesso em 6 abr. 2022. 35 DAMA INTERNATIONAL. Data Management of Knowledge (DAMA-DMBOK). Vancouver, WA. Disponível em: https://www.dama.org/cpages/body-of-knowledge. Acesso em 6 abr. 2022. 36 SECURE CONTROL FRAMEWORK COUNCIL, LLC. Secure Controls Framework (SCF). Disponível em: https://www.securecontrolsframework.com/. Acesso em 06 abr. 2022. Página 66 de 114 e adequado de dados como critério, de modo a classificar a conduta do infrator como leve, média ou grave. Alternativa B – Adoção de mecanismos como parâmetro Nesta opção regulatória, a ANPD deverá considerar a adoção de mecanismos como parâmetro, de modo a valorar a sanção a ser aplicada no caso concreto. Para esta opção, a adoção de mecanismos e procedimentos seria considerada como atenuante da sanção. 8.8.4 MODELO ESCOLHIDO E JUSTIFICATIVA A Alternativa B é que melhor endereça a resolução da problemática, visto que a utilização da adoção de mecanismos e procedimentos como parâmetro pode trazer maior dificuldade para o processo administrativo sancionador, uma vez que não há como a ANPD avaliar previamente aqueles mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados do infrator para classificar a infração. Assim, o ônus de comprovar ou não a adoção de mecanismos e procedimentos recairia totalmente para a ANPD. Desta maneira, a alternativa regulatória encontrada foi utilizá-los como parâmetro, mais especificamente por meio de circunstância atenuante de forma graduada. 8.8.5 OPERACIONALIZAÇÃO Sugere-se que a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados, em consonância com o disposto no inciso II do § 2º do art. 48 da LGPD, seja considerado como um fator atenuante de forma proporcional ao esforço concreto do agente na adoção das medidas correspondentes. Os mecanismos e procedimentos necessários à proteção dos dados pessoais podem ser adotados em diversos níveis. Não foi possível determinar a priori uma escala de valores ou intervalo de valores para quantificar o quanto essa adoção deveria atenuar na dosimetria de determinada penalidade. Optou-se por indicar que o inciso VIII poderia ensejar no máximo 20% (vinte por cento) de decréscimo à penalidade. Assim, o agente de tratamento que tiver atendido plenamente a requisitos verificáveis para o estado da arte, por exemplo, poderá ter 20% (vinte por cento) de atenuação da penalidade. Por outro lado, o agente de tratamento que não tiver adotado os mecanismos e procedimentos de Página 67 de 114 segurança necessários à salvaguarda dos dados pessoais não fará jus à aplicação de circunstância atenuante. Recomenda-se que o agente demonstre, por meio de documentos, sistemas e demais meios disponíveis, a adoção e implementação de suas políticas de boas práticas e governança compatível com a atividade por ele exercida para que possam ser devidamente avaliadas pela ANPD e aplicadas como atenuante. 8.9 ADOÇÃO DE POLÍTICA DE BOAS PRÁTICAS E GOVERNANÇA 8.9.1 INTRODUÇÃO E PROBLEMA Também está no rol de parâmetros e critérios a serem considerados na aplicação de sanções a “adoção de política de boas práticas e governança”, conforme art. 52, §1°, inciso IX da LGPD. A Seção II do Capítulo VII da LGPD dispõe justamente “das boas práticas e governança”. O art. 50, § 1°, inc. I, estabelece os requisitos mínimos de um programa de governança. Ademais, o art. 49 ainda estabelece que: (…) os sistemas utilizados para o tratamento de dados pessoais devem ser estruturados de forma a atender aos requisitos de segurança, aos padrões de boas práticas e de governança e aos princípios gerais previstos nesta Lei e às demais normas regulamentares. Nota-se, portanto, que o art. 49 determina que os agentes adotem padrões de boas práticas e de governança para estruturar seus sistemas, enquanto o art. 50 aponta como esses padrões podem ser formulados (individualmente ou por meio de associações) e suas características mínimas. Observa-se não haver, na legislação, uma definição clara de “regras de boas práticas e de governança”, o que poderá ser estabelecido em regulamento próprio para maior segurança jurídica. Adicionalmente, é preciso dispor de que forma a adoção de boas práticas e governança pelo infrator impactará na dosimetria da multa e na adoção das outras sanções dispostas no art. 52 da LGPD. 8.9.2 EXPERIÊNCIA NACIONAL E INTERNACIONAL Não foi encontrado dispositivo legal no âmbito nacional que estabeleça a adoção de políticas de boas práticas e governança como um critério ou parâmetro para a aplicação de sanções. Já as outras três jurisdições pesquisadas (União Europeia, Reino Unido e Austrália) também adotam parâmetro semelhante na aplicação de sanções. O art. 83 do RGPD (União Europeia) estabelece que entre os critérios e parâmetros para decidir sobre a aplicação de multa e seu valor está o “cumprimento de códigos de conduta aprovados nos termos do artigo 40° ou de Página 68 de 114 procedimento de certificação aprovados nos termos do artigo 42°”37. O art. 40, por sua vez, estabelece que os Estados-Membros ou associações e outros organismos podem elaborar códigos de conduta. O mesmo artigo também traz exemplos de dispositivos que podem ser especificados por códigos de conduta propostos por associações ou outros organismos. Já o artigo 42 dispõe sobre a criação de procedimentos de certificação em matérias de proteção de dados. Os EstadosMembros parecem adotar esse parâmetro como um agravante ou atenuante, a depender do caso concreto38 . O ICO (autoridade do Reino Unido) considera o mesmo dispositivo estabelecido do RGPD, que também está disposto no Data Protection Act 2018 (DPA), seção 155 (3) (j)39. A autoridade considera o cumprimento de códigos de conduta ou certificação, assim como outros parâmetros dispostos na seção 155 da DPA e artigo 83 do RGPD, para calcular o valor base da multa. Especificamente, conforme o Draft Statutory Guidance colocado em consulta pública em 2020, o ICO considera esses fatores no primeiro passo para cálculo da multa, quando decide sobre a gravidade da infração. Nesse passo, é decidido se à infração é aplicável o “valor máximo superior”40, de 4% do faturamento ou €20 milhões, ou o “valor máximo padrão”41, de 2% ou € 10 milhões. Por fim, a autoridade da Austrália, ao decidir sobre a aplicação de uma multa, considera o disposto no documento Guide to Privacy Regulatory Action42. Em decisão de junho de 2021 contra a empresa Uber43, a autoridade não aplicou multa, mas determinou uma série de obrigações à empresa. Entre elas, está justamente a de adotar programa mais robusto de segurança no tratamento de dados pessoais. Entende-se, portanto, que a autoridade australiana também pode considerar esse fator ao estabelecer outras sanções, inclusive como obrigações de fazer. 37 UNIÃO EUROPÉIA. Conforme a versão em português da RGPD. Disponível em < https://eur-lex.europa.eu/legalcontent/PT/TXT/?uri=celex%3A32016R0679> Acesso em 21 set. 2021. 38 FRANÇA. Disponível em: https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000044043045. Acesso em 22 set 2021. ESPANHA. Disponível em: https://www.aepd.es/es/documento/ps-00302-2021.pdf. Acesso em 22 set. 2021. ITÁLIA Disponível em: https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9698724. Acesso em 22 set. 2021. 39 REINO UNIDO. Disponível em Acesso em 21 set. 2021. 40 INFORMATION COMMISSIONER’S OFFICE. Traduzido livremente de “higher maximum amount”, conforme o Draft Statutory Guidance. Disponível em https://ico.org.uk/media/about-the-ico/consultations/2618333/ico-draft-statutory-guidance.pdf. p. 21. Acesso em 21 set. 2021. 41 INFORMATION COMMISSIONER’S OFFICE. Traduzido livremente de “standard maximum amount”, conforme o Draft Statutory Guidance disponível em < https://ico.org.uk/media/about-the-ico/consultations/2618333/ico-draft-statutory-guidance.pdf. p. 21. Acesso em 21 set. 2021. 42 OFFICE OF THE AUSTRALIAN INFORMATION COMMISSIONER. Disponível em https://www.oaic.gov.au/about-us/our-regulatoryapproach/guide-to-privacy-regulatory-action/chapter-6-civil-penalties/. Austrália. Acesso em 22 set. 2021. 43 AUSTRALASIAN LEGAL INFORMATION INSTITUTE. Disponível em http://www.austlii.edu.au/cgibin/viewdoc/au/cases/cth/AICmr/2021/34.html. Acesso em 22 set. 2021. Página 69 de 114 8.9.3 OPÇÕES REGULATÓRIAS Considerando as experiências de outros jurisdições, há três opções de como considerar a adoção de políticas de boas práticas e governança. Alternativa A – Política de boas práticas de governança como parâmetro A Alternativa A seria considerar como um atenuante ou agravante no cálculo do valor da multa. Alternativa B – Política de boas práticas de governança como valor base A Alternativa B seria considerar a adoção de políticas de boas práticas e governança no cálculo do valor base da multa, ao considerar a gravidade da infração, tal como proposto pelo ICO. Alternativa C – Política de boas práticas de governança como critério Por fim, a Alternativa C seria considerar esse fator apenas como um critério na escolha da sanção, conforme feito pela autoridade australiana. 8.9.4 MODELO ESCOLHIDO E JUSTIFICATIVA Conforme estabelecido no art. 50 da LGPD, as regras de boas práticas perpassam toda a atividade de tratamento de dados pessoais realizada por um agente, devendo considerar uma série de características dos dados pessoais, de seu tratamento, da finalidade e das operações realizadas. No mesmo artigo, ainda são estabelecidos requisitos mínimos de programa de segurança e privacidade quando da aplicação dos princípios da segurança e prevenção44. Tais requisitos abrangem todas as atividades de tratamento de dados pessoais. Assim, pela amplitude desse fator, a implementação de política de boas práticas e de governança deverá ser considerada e avaliada no caso concreto. De forma específica, sugere-se a Alternativa A, para que o parâmetro seja considerado no cálculo de multa. Para o cálculo de eventual multa, sugere-se que a adoção de políticas de boas práticas e governança seja considerada uma atenuante. Diferentemente da autoridade do Reino Unido, considera-se que a existência ou não de tais políticas não está necessariamente relacionada à gravidade da infração, mas sim com a culpabilidade do infrator. Nesse sentido, a não adoção de políticas de boas práticas pode ser uma das razões que levou à infração, mas a gravidade está mais relacionada aos riscos e danos causados ao titular de dados pessoais. 44 Princípios dispostos no art. 6°, incisos VII e VII da LGPD. Página 70 de 114 8.9.5 OPERACIONALIZAÇÃO No cálculo da multa, sugere-se que a adoção da política de boas práticas não seja considerada como um fator binário, mas sim como um fator que permite uma gradação. Isso porque o agente pode adotar boas práticas para alguns aspectos do tratamento de dados pessoais, mas não para outros. Alternativamente, o agente pode ter uma política de boas práticas e privacidade completa, mas implementá-la de fato em apenas alguns aspectos. Assim, recomenda-se que esse fator seja adotado como atenuante de forma gradativa, de acordo com o caso concreto. Recomenda-se, ainda, que o agente demonstre por meio de documentos, sistemas e demais meios disponíveis a adoção e implementação de suas políticas de boas práticas e governança para que possam ser devidamente avaliadas pela ANPD e aplicadas como atenuante se for o caso, com a redução de até 20% do valor base da multa. Tais demonstrações também poderão ser usadas para impor obrigações ou outras sanções caso necessário. 8.10 ADOÇÃO DE MEDIDAS CORRETIVAS 8.10.1 INTRODUÇÃO E PROBLEMA O art. 52, §1º, X da LGPD dispõe como critério ou parâmetro “a pronta adoção de medidas corretivas” para ser considerada na aplicação da sanção. Observa-se que a lógica empreendida pelo legislador é no sentido de que é adequada a adoção de medidas proativas por parte do agente infrator após a percepção da irregularidade. O interesse do agente de tratamento em resolver eventuais falhas é ato positivo no contexto apresentado. Cabe ressaltar que por força do art. 52, I da LGPD, a sanção de advertência a ser aplicada pela ANPD deve indicar o prazo para a adoção de medidas corretivas. Entende-se que a adoção desse tipo de medida corretiva, imposta pela Autoridade, possui sentido diferente do disposto no art. 52, §1º, X, já que a primeira é uma determinação da ANPD e a segunda seria realizada voluntariamente pelo infrator. Dessa forma, o problema identificado consiste no enquadramento do requisito de “pronta adoção de medidas corretivas” na aplicação da sanção. 8.10.2 EXPERIÊNCIA NACIONAL E INTERNACIONAL No contexto nacional, a ANTAQ, na Resolução PR-ANTAQ Nº 3.259, de 30 de janeiro de 2014, introduz a questão de correção da infração no âmbito do Termo de Ajustamento de Conduta (TAC), como segue: Página 71 de 114 Art. 84. A Autoridade Julgadora competente para apreciar o Auto de Infração decidirá sobre a celebração de TAC, de forma excepcional e devidamente justificada, desde que este se configure medida alternativa eficaz para preservar o interesse público, alternativamente à decisão administrativa sancionadora. §1º. O TAC poderá ser firmado para a correção de uma ou mais infrações cometidas, a critério da autoridade competente No âmbito de atuação da Anac, a adoção entra como circunstância atenuante, conforme a Resolução nº 472/2018: Art. 36. Na dosimetria da aplicação de sanções serão consideradas as circunstâncias atenuantes e agravantes. § 1º São circunstâncias atenuantes: II – a adoção voluntária de providências eficazes para evitar ou amenizar as consequências da infração antes de proferida a decisão; e (…) As entidades regulatórias Aneel, CVM, ANS, Anatel e Ancine também aplicam o parâmetro de medidas corretivas como atenuante no cálculo da multa, conforme textos normativos respectivos reproduzidos a seguir. A Resolução Normativa Aneel nº 846/2019 dispõe que: Art. 24. Do valor da multa calculado na forma do art. 23, serão deduzidos os percentuais abaixo, de forma não cumulativa, caso incidam as seguintes circunstâncias atenuantes: I – 95% (noventa e cinco por cento), no caso de cessação espontânea da infração e reparação total do dano ao serviço e aos consumidores ou usuários, previamente à comunicação formal do agente quanto à realização de ação de fiscalização ou da lavratura de Termo de Notificação – TN decorrente de processo de monitoramento e controle; ou II – 50% (cinquenta por cento), no caso de cessação da infração e reparação total do dano ao serviço e aos consumidores ou usuários, até o fim do prazo estabelecido para manifestação ao TN. Parágrafo único. Para consideração das circunstâncias atenuantes na definição do valor da multa, a cessação da infração e a reparação dos danos causados ao serviço e aos consumidores ou usuários devem ser comprovadas à Fiscalização previamente à lavratura do AI. A Instrução CVM nº 607/ 2019 com as alterações introduzidas pelas Instruções CVM nº 613/19 e 624/20 e pela Resolução CVM nº 2/20 dispõe que a “regularização da infração” será uma circunstância atenuante: Página 72 de 114 Art. 66. São circunstâncias atenuantes: I – a confissão do ilícito ou a prestação de informações relativas à sua materialidade; II – os bons antecedentes do infrator; III – a regularização da infração; IV – a boa-fé dos acusados; e V – a adoção efetiva de mecanismos e procedimentos internos de integridade, auditoria e incentivo à denúncia de irregularidades, bem como a aplicação efetiva de códigos de ética e de conduta no âmbito da pessoa jurídica, avaliada por entidade pública ou privada de reconhecida especialização. § 1º A pena poderá ser ainda atenuada em razão de circunstância relevante, anterior ou posterior à infração, embora não expressamente prevista nos incisos do caput. § 2º A incidência de circunstâncias atenuantes não resulta na descaracterização da gravidade da conduta. § 3º A penalidade de multa será reduzida em até 25% (vinte e cinco por cento) para cada atenuante verificada. § 4º As penalidades de suspensão, inabilitação e proibição serão reduzidas em até 25% (vinte e cinco por cento) para cada atenuante verificada, considerando-se o número de meses da pena-base e desprezando-se as frações. § 5º A circunstância atenuante prevista no inciso I do caput deste artigo não deverá ser aplicada na dosimetria da penalidade do acusado que tenha celebrado acordo administrativo em processo de supervisão de que trata o art. 30 da Lei nº 13.506, de 13 de novembro de 2017, quanto aos fatos tratados no processo. A ANS também prevê esse fator como atenuante, nos termos da RN nº 489/2022: Art. 8º É circunstância que sempre atenua a sanção o infrator ter adotado voluntariamente providências suficientes para reparar os efeitos danosos da infração, mesmo que não configure reparação voluntária e eficaz – RVE. Parágrafo único. A circunstância atenuante implicará a redução de 10% (dez por cento) do valor da multa. A Anatel, em seu RASA, também estabelece fator semelhante como atenuante e a gradação do desconto depende do momento em que a reparação é feita: Art. 20. O valor da multa será reduzido, nos percentuais abaixo, caso incidam as seguintes circunstâncias atenuantes: I – 90% (noventa por cento), nos casos de cessação espontânea da infração e reparação total do dano ao serviço e ao usuário, previamente à ação da Agência; II – 70% (setenta por cento), nos casos de cessação da infração e reparação total ao usuário, quando cabível, antes da intimação da instauração do Página 73 de 114 Pado ou dentro do prazo estipulado pela Anatel, quando assim ocorrer; (Redação dada pela Resolução nº 746, de 22 de junho de 2021) III – 50% (cinquenta por cento), nos casos de cessação da infração e reparação total ao usuário, quando cabível, até o término do prazo para a apresentação de alegações finais em âmbito de Pado; (Redação dada pela Resolução nº 746, de 22 de junho de 2021) IV – 20% (vinte por cento), nos casos de adoção de medidas, pelo infrator, para minimizar os efeitos decorrentes da infração cometida e reparação total ao usuário, quando cabível, até o término do prazo para apresentação de alegações finais nos autos do Pado; (Redação dada pela Resolução nº 746, de 22 de junho de 2021) Já a Ancine aplicou o conceito de “amenização das consequências da infração ou reparação” como atenuante, nos termos da Instrução Normativa nº 109/2012: Art. 19. Para a determinação da multa, o agente público levará em consideração as consequências da infração para a indústria cinematográfica e videofonográfica no Brasil, a situação econômica do infrator e a reincidência. § 1º Para os fins deste capítulo, verifica-se a reincidência quando o infrator cometer nova infração, ainda que decorrente de conduta ilícita diversa da anterior, depois de ter sido punido anteriormente por decisão administrativa definitiva, salvo se decorridos dois anos do cumprimento da respectiva punição. § 2º Ressalvadas as hipóteses previstas nos arts. 22, 23, 25, 33 e 42, o valor da multa fixada será acrescido ou deduzido no percentual de 15% (quinze por cento) para cada circunstância agravante ou atenuante, observados os limites previstos nesta Instrução Normativa. § 3º São circunstâncias atenuantes: I – a adoção voluntária de providências eficazes para evitar ou amenizar as consequências da infração, ou para reparar, antes da decisão do processo ou de determinação da autoridade competente, os efeitos da infração; e (…) Art. 49. As circunstâncias agravantes ou atenuantes serão consideradas após a cominação da pena-base, na forma estabelecida pelo artigo 48, e implicam o aumento ou a redução de 15% na penalidade estabelecida, conforme o caso. (…) § 2º São circunstâncias atenuantes: I – a adoção voluntária de providências eficazes para evitar ou amenizar as consequências da infração, ou para reparar, antes da decisão do processo ou de determinação da autoridade competente, os efeitos da infração; e Por fim, o RGPD prevê, em seu artigo 83, que deve a iniciativa para atenuar danos sofridos pelos titulares deve ser considerada ao se aplicar a multa: Página 74 de 114 Consoante as circunstâncias de cada caso, as coimas são aplicadas para além ou em vez das medidas referidas no artigo 58.o, n.o 2, alíneas a) a h) e j). Ao decidir sobre a aplicação de uma coima e sobre o montante da coima em cada caso individual, é tido em devida consideração o seguinte: (…) c) A iniciativa tomada pelo responsável pelo tratamento ou pelo subcontratante para atenuar os danos sofridos pelos titulares; 8.10.3 OPÇÕES REGULATÓRIAS A maior parte das autoridades considera a adoção de medidas corretivas como um fator atenuante. Dessa forma, as opções regulatórias para endereçar o problema descrito no item anterior tratam especificamente da hermenêutica do termo “pronta adoção de medidas corretivas” trazido pela LGPD, sendo elas: (i) pronta adoção como todo ato de caráter imediato; (ii) pronta adoção como todo ato de caráter voluntário; e (iii) pronta adoção como todo ato em resposta à determinação da ANPD no âmbito da atividade preventiva. Nesse sentido, esclarece-se que a cessação da infração também é considerada com um ato com vistas a adotar medidas corretivas, já que a cessação da infração já pode mitigar riscos e/ou danos para os titulares. Alternativa A – Pronta adoção como todo ato de caráter imediato A Alternativa A considera a pronta adoção de medidas corretivas como sendo aquela em que a ação que visa corrigir a conduta é realizada de modo imediato pelo infrator. Nesta opção regulatória, a adoção de medidas corretivas é utilizada como parâmetro, na forma de atenuante, desde que comprovada a regularização da conduta e desde que a correção da conduta seja feita pronta e imediatamente pelo agente regulado. Alternativa B – Pronta adoção como todo ato de caráter voluntário Na Alternativa B, a pronta adoção de medidas corretivas é considerada de forma mais ampla como toda ação voluntária por parte do infrator para regularizar a conduta irregular, não abrangendo, desta forma, aqueles atos decorrentes de advertência, aviso ou solicitação para correção de conduta, por exemplo. Desta maneira, é utilizada como parâmetro da penalidade a ser imposta, a ser instrumentalizada por meio de atenuante. Assim, a ação do infrator pode ser considerada em diferentes percentuais, a depender do momento em que a medida corretiva seja realizada, de modo que quanto mais imediata a ação, maior o percentual de atenuante a ser aplicado pela ANPD. Página 75 de 114 Alternativa C – Pronta adoção como todo ato em resposta à determinação da ANPD no âmbito da atividade preventiva A Alternativa C considera a pronta adoção de medidas corretivas como sendo aquela ação do agente regulado em resposta à atividade preventiva da ANPD. Nos termos no art. 15, §3º, do Regulamento do Processo de Fiscalização e do Processo Administrativo Sancionador no âmbito da ANPD, a atividade preventiva consiste em uma atuação baseada, preferencialmente, na construção conjunta e dialogada de soluções e medidas que visam a reconduzir o agente de tratamento à plena conformidade ou a evitar ou remediar situações que possam acarretar risco ou dano aos titulares de dados pessoais e a outros agentes de tratamento. O art. 32 do referido Regulamento elenca as medidas que podem ser adotadas no âmbito da atividade preventiva, sendo elas: (i) divulgação de informações; (ii) aviso; (iii) solicitação de regularização ou informe; e (iv) plano de conformidade. Desta forma, o agente regulado, ao reconduzir a sua conduta pela pronta adoção de medidas corretivas no âmbito da atividade preventiva, poderia ter tal fato valorizado por meio de circunstância atenuante quando da aplicação de sanção, quando cabível. Alternativa D – Combinação das alternativas anteriores A Alternativa D considera como pronta adoção de medidas qualquer ato que tenha caráter imediato ou voluntário ou que seja praticado em resposta à determinação da ANPD no âmbito da atividade preventiva. Assim, esta opção regulatória não limita a definição de pronta adoção de medidas, mas sim tende a amplificar seu conceito. 8.10.4 MODELO ESCOLHIDO E JUSTIFICATIVA A Alternativa D consegue atender de forma mais ampla a finalidade de adequação da conduta do infrator, obedecendo ao princípio da regulação responsiva, uma vez que fomenta a correção da conduta por meio da aplicação de diferentes níveis de atenuantes e a reparação de danos aos titulares de dados pessoais. Objetiva-se, portanto, a adoção de medidas corretivas em diferentes níveis pelo agente regulado, mediante diretrizes para escalonamento e utilização de ferramentas alternativas de estímulo à correção de conduta, trazendo maior conformidade ao normativo vigente. Pretende-se, com a opção regulatória escolhida, induzir o comportamento adequado do agente regulado conforme à LGPD, recompensando os regulados virtuosos, ou seja, aqueles que Página 76 de 114 cumprem a regulação, criando espaços de diferentes níveis temporais para a correção de condutas e adoção de medidas corretivas para o atingimento da plena conformidade. Por fim, o estabelecimento na proposta normativa das diferentes circunstâncias atenuantes visa trazer maior segurança jurídica aos agentes regulados, dando previsibilidade sobre como a sua atuação será percebida pela ANPD. 8.10.5 OPERACIONALIZAÇÃO Para operacionalizar o modelo escolhido, sugere-se o estabelecimento na proposta normativa de diferentes níveis de atenuantes a serem aplicados de acordo com o tempo que o agente de tratamento levou para corrigir a conduta, independente se tal ato foi decorrente da atividade preventiva ou voluntária. Ressalta-se, ainda, que se considera a cessação espontânea da infração como um tipo de adoção de medida corretiva, já que a cessação, por si só, pode deixar de gerar danos e/ou riscos para titulares. Assim, propõe-se a incidência de circunstância atenuante em diferentes níveis e tipos: a) 75% (setenta e cinco por cento), nos casos de cessação espontânea da infração previamente à instauração de procedimento preparatório pela ANPD; b) 50% (cinquenta por cento), nos casos de cessação da infração após a instauração de procedimento preparatório e até a instauração de processo administrativo sancionador; c) 30% (trinta por cento), nos casos de cessação da infração após a instauração de processo administrativo sancionador e até a prolação da decisão de primeira instância no âmbito do processo administrativo sancionador; e d) 20% (vinte por cento), nos casos em que o infrator tenha comprovado a implementação de medidas capazes de reverter ou mitigar os efeitos da infração sobre os titulares de dados pessoais afetados. 8.11 PROPORCIONALIDADE ENTRE A GRAVIDADE DA FALTA E A INTENSIDADE DA SANÇÃO 8.11.1 INTRODUÇÃO E PROBLEMA O princípio da proporcionalidade é inerente à hermenêutica jurídica constitucional e pode ser conceituado como a adequação entre meios e fins, servindo, por exemplo, de instrumento de controle dos atos emanados pela Administração Pública. O Regimento Interno da ANPD, aprovado pela Portaria nº 1, de 8 de março de 2021, em seu art. 48, dispõe que as atividades da ANPD deverão obedecer, além dos princípios estabelecidos na LGPD, aos princípios da legalidade, motivação, moralidade, eficiência, celeridade, interesse público, Página 77 de 114 impessoalidade, igualdade, devido processo legal, ampla defesa, contraditório, razoabilidade, proporcionalidade, imparcialidade, publicidade, economicidade, segurança jurídica, entre outros, devendo observar no que couber, o disposto na LPA. A LPA determina que Administração Pública deve obedecer, dentre outros, aos princípios da legalidade, finalidade, motivação, razoabilidade, proporcionalidade, moralidade, ampla defesa, contraditório, segurança jurídica, interesse público e eficiência. Assim, todo o arcabouço normativo vigente estabelece, de forma expressa, a necessidade se atender ao princípio da proporcionalidade. Neste sentido, a LGPD estabeleceu, no inciso XI do art. 52, que a intensidade das sanções administrativas deve ser proporcional à gravidade da falta. A ANPD deve, portanto, aplicar as sanções administrativas obedecendo a este princípio, evitando a extrapolação da aplicação de penalidade, de modo a evitar que esta seja totalmente desproporcional à conduta infrativa, podendo causar graves e irreparáveis prejuízos ao administrado. A proporcionalidade, no entanto, deve permear toda a atuação do poder público, não somente no processo administrativo sancionador, devendo ser atendido desde a priorização estratégica de recursos perante os riscos regulatórios, passando pelo processo de fiscalização até o regime de sanções administrativas. A autoridade nacional vem adotando premissas do modelo baseado na teoria da regulação responsiva para graduar sua atuação e agir de modo proporcional ao comportamento do regulado e aos riscos envolvidos. Deve, neste momento, endereçar na proposta normativa o atendimento ao princípio da proporcionalidade para aplicação das sanções, de modo que estas tenham caráter preventivo, educativo e repressivo, afastando um contexto de abuso de direito proveniente de entidades privadas em desfavor da ANPD, ao mesmo tempo em que se deve evitar a aplicação de penalidades exageradas e desproporcionais. 8.11.2 EXPERIÊNCIA NACIONAL E INTERNACIONAL A proporcionalidade entre a gravidade da infração e a intensidade da sanção está prevista no arcabouçou legal das agências reguladoras, como os exemplos abaixo. A RN nº 846/2019 da Aneel prevê alguns critérios para seja calculada uma multa proporcional: Página 78 de 114 Art. 22. Na fixação do valor das multas serão consideradas a abrangência, a gravidade, os danos resultantes para o serviço e para os usuários, a vantagem auferida e as circunstâncias agravantes e atenuantes da infração. (…) § 2º No cálculo do valor base da multa, devem ser considerados, para fins de aferição da abrangência da infração e da gradação da sua gravidade, entre outros, a proporcionalidade entre a gravidade da infração e a intensidade da penalidade, podendo ser adotados pisos e tetos. (…) § 6º A ANEEL poderá afastar, excepcionalmente e de modo fundamentado, a aplicação de metodologia para o cálculo do valor base da multa, quando existente, se verificado, no caso concreto, que o valor não atende aos princípios da razoabilidade e proporcionalidade. Por sua vez, a Instrução Normativa nº 109/2012 da Ancine prevê que serão consideradas a natureza e a gravidade da infração, além de outros critérios: Art. 48. Para a determinação da sanção aplicável, serão considerados a natureza e a gravidade da infração, os danos dela resultantes para os assinantes, a vantagem auferida pelo infrator, as circunstâncias agravantes e atenuantes, os antecedentes do infrator e a reincidência específica, entendida como a repetição de falta de igual natureza após decisão administrativa definitiva anterior, salvo se decorridos dois anos do cumprimento da respectiva punição. (…) § 2º A sanção de multa, inclusive diária, poderá ser imposta isoladamente ou em conjunto com outra sanção e, na sua aplicação, serão considerados a condição econômica do infrator e o princípio da proporcionalidade entre a gravidade da falta e a intensidade da sanção. O RASA da Anatel também dispõe sobre a proporcionalidade entre a gravidade da falta e a intensidade da sanção quando do cálculo do valor base da multa: Art. 18. No cálculo do valor base da multa devem ser considerados os seguintes aspectos: (…) IV – a proporcionalidade entre a gravidade da falta e a intensidade da sanção; (…) § 4º A Anatel poderá afastar, excepcionalmente e de modo fundamentado, a aplicação da metodologia para o cálculo da multa, Página 79 de 114 caso se verifique, no caso concreto, que o valor da sanção não atende aos princípios da razoabilidade e proporcionalidade. A Anatel ainda possui modelo de cálculo do valor base disposto em anexo ao RASA, considerando o porte da empresa e classificação das infrações. A CVM, em sua Instrução nº 607/2019, também estabelece a necessidade de se observar os princípios da proporcionalidade e da razoabilidade: Art. 63. Na fixação da pena-base, o Colegiado observará os princípios da proporcionalidade e da razoabilidade, bem como a capacidade econômica do infrator e os motivos que justifiquem a imposição da penalidade. Por fim, a ANS considera os parâmetros de proporcionalidade estabelecidos pela RN nº 489, de 29 de março de 2022: Art. 9º No caso de infrações que produzam efeitos de natureza coletiva, o valor da multa pecuniária fixada poderá ser aumentado em até vinte vezes, até o limite estabelecido nos arts. 27 e 35-D da Lei 9.656, de 1998, observados os seguintes parâmetros de proporcionalidade: I – de 1 (um) a 1.000 (mil) beneficiários expostos: até 1 (uma) vez o valor da multa; II – de 1.001 (mil e um) a 20.000 (vinte mil) beneficiários expostos: até 5 (cinco) vezes o valor da multa; III – de 20.001 (vinte mil e um) a 100.000 (cem mil) beneficiários expostos: até 10 (dez) vezes o valor da multa; IV – de 100.001(cem mil e um) a 200.000 (duzentos mil) beneficiários expostos: até 15 (quinze) vezes o valor da multa; V – de 200.001 (duzentos mil e um) a 1.000.000 (um milhão) de beneficiários expostos: até 20 (vinte) vezes o valor da multa; ou VI – a partir de 1.000.001 (um milhão e um) beneficiários expostos: 20 (vinte) vezes o valor da multa. 8.11.3 OPÇÕES REGULATÓRIAS A ANPD deverá utilizar-se da metodologia para aplicação das sanções administrativas, em conformidade com o determinado na LGPD. No entanto, a metodologia poderá não contemplar todas as situações relativas a descumprimento regulamentar, podendo resultar em aplicação de penalidade desproporcional em condições específicas devido às circunstâncias do caso concreto. Página 80 de 114 A proporcionalidade está, de forma direta ou indireta, sendo observada na presente dosimetria da sanção mediante aplicação dos demais critérios e parâmetros elencados pelo art. 52 da LGDP anteriormente expostos. Como exemplo, a proporcionalidade será utilizada na dosimetria da sanção de multa simples ou diária, considerando a gradação da infração e a condição econômica da infratora. Pretende-se, com isso, que a sanção de multa seja proporcional à capacidade econômica do infrator, evitando-se a aplicação de multa desproporcional que podem causar sérios prejuízos financeiros ao infrator. 8.11.4 MODELO ESCOLHIDO E JUSTIFICATIVA Considerando que o princípio da proporcionalidade está sendo contemplado pela aplicação dos demais incisos do art. 52, não se vislumbram opções regulatórias, não havendo modelo a ser escolhido. 8.11.5 OPERACIONALIZAÇÃO Para operacionalizar o modelo escolhido, sugere-se deixar de forma expressa no regulamento a possibilidade de se afastar, excepcionalmente e de modo fundamentado, a metodologia de dosimetria de sanções de multa simples ou diária, ou substituir a aplicação de sanção por outra estabelecida na lei, nos casos em que se constatar prejuízo à proporcionalidade entre a gravidade da infração e a intensidade da sanção. Para tanto, a decisão que resultar em afastamento de metodologia ou substituição de sanções deve ser devidamente fundamentada, indicando explicitamente a desproporcionalidade constatada, o interesse público a ser protegido, os critérios de conveniência e oportunidade adotados e os parâmetros de substituição da sanção. 9 TEMA 3 – APLICAÇÃO DAS SANÇÕES E METODOLOGIA DE CÁLCULO DO VALOR-BASE DAS SANÇÕES DE MULTA 9.1 ADVERTÊNCIA COM INDICAÇÃO DE PRAZO PARA ADOÇÃO DE MEDIDAS CORRETIVAS 9.1.1 INTRODUÇÃO E PROBLEMA A primeira sanção prevista na LGPD é a advertência, conforme o inc. I do art. 52: I – advertência, com indicação de prazo para adoção de medidas corretivas; A sanção administrativa de advertência é uma penalidade amplamente utilizada por órgãos da Administração Pública. No entanto, considerando que a legislação não estabelece as Página 81 de 114 circunstâncias e os procedimentos para aplicação da advertência, cabe à ANPD determinar as condições em que essa sanção será aplicada. 9.1.2 EXPERIÊNCIA NACIONAL E INTERNACIONAL A sanção de advertência está prevista em vários normativos brasileiros, como pode ser visto abaixo. A Resolução nº 6/2016 da ANTAQ, no art. 47, estabelece a advertência como umas das sanções aplicáveis. A advertência e a multa podem ser impostas isoladamente ou em conjunto com outra sanção, conforme §1º do mesmo artigo. O art. 54 prevê as circunstâncias em que a advertência será aplicada: Art.47. As infrações administrativas serão punidas com as seguintes I – advertência; II – multa; III – suspensão; IV – cassação; V – declaração de inidoneidade; e VI – declaração de caducidade. § 1º A advertência e a multa poderão ser impostas isoladamente ou em conjunto com outra sanção. Da Advertência Art. 54 . A sanção de advertência poderá ser aplicada apenas para as infrações de natureza leve e média, quando não se julgar recomendável a cominação de multa e desde que não verificado prejuízo à prestação do serviço, aos usuários, ao mercado, ao meio ambiente ou ao patrimônio público. Parágrafo único. Fica vedada a aplicação de nova sanção de advertência no período de três anos contados da publicação no Diário Oficial da União da decisão condenatória irrecorrível que tenha aplicado advertência ou outra penalidade. A Resolução Normativa nº 846/2019 da Aneel estabelece a advertência como uma penalidade em seu art. 5º. Conforme o art. 6º da mesma norma, a Aneel aplicará a advertência quando não houver reincidência específica e quando a infração for de baixa ofensividade. Importante ressaltar também que outras penalidades possíveis, de acordo com a mencionada norma, são obrigações de fazer e não fazer, conforme incisos V e VI do art. 5º. Tais penalidades são independentes da penalidade de advertência e são reguladas pelos arts. 14 e 15. Página 82 de 114 A advertência também é prevista pela Instrução Normativa nº 109/2012 da Ancine. Conforme a Seção II dessa norma, a advertência pode ser aplicada para as infrações referentes à Medida Provisória n° 2.228-1/01 e à Lei nº 11.437/06, quando a infração for considerada leve. Para as penalidades administrativas referentes à Lei nº 12.485/11, a norma prevê a aplicação de advertência, porém não especifica em que circunstâncias ela é cabível. O RASA da Anatel também prevê como uma das sanções a advertência e a define como “sanção aplicada por inobservância de obrigação que não justifique imposição de pena mais grave”, conforme art. 2º, inc. I. As circunstâncias para aplicação desse tipo de sanção são estabelecidas no art. 12: DA APLICAÇÃO DE ADVERTÊNCIA Art. 12. A Agência aplicará a sanção de advertência quando da ocorrência de uma das seguintes alternativas: I – não justifique a imposição de pena mais grave ao infrator; ou, II – atendimento das medidas impostas em processo de Acompanhamento do qual derivou o Pado. Parágrafo único. Não será aplicada a sanção de advertência a: I – descumprimento das obrigações relacionadas à universalização e à continuidade; ou, II – infrações graves, na forma do § 3º do art. 9° deste Regulamento, ressalvada a situação prevista no inciso II do caput deste artigo. Destaca-se que, assim como o caso da Aneel, o RASA da Anatel também prevê a aplicação de obrigações de fazer e não fazer como sanções, conforme art. 3º, incisos IV e V. Essas sanções são regidas pelo Capítulo X da norma. O art. 60 da Instrução nº 607/2019 da CVM estabelece a advertência como uma das penalidades, que pode ser aplicada isolada ou cumulativamente com as outras sanções ali previstas. A única hipótese em que não é possível aplicar apenas a advertência é naquela em que a infração administrativa também for capitulada em tese como crime no âmbito da Lei nº 6.385/1976, conforme art. 61, §2º. A RN nº 489/2022 da ANS estabelece, no art. 2º, a advertência como uma forma de penalidade, que deverá ser aplicada conforme o art. 5º: Da Advertência Art. 5º A sanção de advertência será aplicada nos casos previstos nesta norma e desde que atendida ao menos uma das condições abaixo previstas: I – não ter havido lesão irreversível ao bem jurídico tutelado pela norma infringida; Página 83 de 114 II – não ter acarretado qualquer dano aos beneficiários; ou III – ter o infrator adotado voluntariamente providências suficientes para reparar os efeitos danosos da infração, mesmo que não configure reparação voluntária e eficaz – RVE. §1º A sanção de advertência será aplicada por escrito. §2º Na hipótese de o infrator ter reincidido na mesma infração, a ANS poderá deixar de aplicar a pena de advertência, para aplicar uma sanção mais grave. Outros normativos não preveem especificamente a advertência, mas definem sanções de obrigação de fazer para correção de conduta irregular, como pode ser visto a seguir. O art. 6º da Resolução nº 2/2018 da CMED estabelece como sanções a correção da prática infrativa e multa, que podem ser aplicadas autônoma ou cumulativamente, conforme o art. 7º. O art. 8º estabelece as seguintes circunstâncias para a aplicação de correção da prática infrativa: Art. 8º A aplicação de correção da prática infrativa deverá observar os seguintes parâmetros: I – estar estritamente relacionada com a infração cometida, sendo vedada a determinação da prática ou abstenção de ato que não tenha relação com a conduta irregular apenada ou com a regulação do mercado de medicamentos; II – buscar, preferencialmente, melhorias para o mercado de medicamentos, de modo a beneficiar os usuários da forma mais direta possível; e § 1º Cabe à sancionada o ônus de comprovar o efetivo cumprimento da medida de correção imposta pela autoridade competente, na forma por essa estabelecida, dentro do prazo fixado na decisão que lhe impuser a obrigação. § 2º O não cumprimento da correção da prática infrativa imposta pela autoridade administrativa, independentemente de responsabilização civil ou criminal, poderá implicar a conversão da correção em multa, que levará em consideração o grau de cumprimento da obrigação imposta e as características da infração originalmente cometida, segundo os parâmetros e critérios definidos nesta Resolução. § 3º Sem prejuízo da responsabilização constante no parágrafo anterior, como forma de assegurar a efetiva regulação do mercado de medicamentos, de modo a minimizar ou pôr fim ao prejuízo causado aos usuários, a CMED poderá, de ofício, adotar medidas com vistas a suprir a omissão ou recusa em cumprir a correção da prática infrativa. Já a Lei de Defesa da Concorrência estabelece a seguinte pena para infração à ordem econômica: Página 84 de 114 Art. 38. Sem prejuízo das penas cominadas no art. 37 desta Lei, quando assim exigir a gravidade dos fatos ou o interesse público geral, poderão ser impostas as seguintes penas, isolada ou cumulativamente: … VII – qualquer outro ato ou providência necessários para a eliminação dos efeitos nocivos à ordem econômica. Assim, a Lei não estabelece especificamente advertência, mas prevê a imposição de outras ações que sejam capazes de corrigir a conduta irregular. Em relação à experiência internacional, o RGPD não prevê especificamente a penalidade de advertência. Contudo, o art. 58 estabelece uma série de poderes para as autoridades nacionais de determinar a correção de condutas irregulares: 2. Cada autoridade de controlo dispõe dos seguintes poderes de correção: Fazer advertências ao responsável pelo tratamento ou ao subcontratante no a) sentido de que as operações de tratamento previstas são suscetíveis de violar as disposições do presente regulamento; Fazer repreensões ao responsável pelo tratamento ou ao subcontratante b) sempre que as operações de tratamento tiverem violado as disposições do presente regulamento; Ordenar ao responsável pelo c) tratamento ou ao subcontratante que satisfaça os pedidos de exercício de direitos apresentados pelo titular dos dados nos termos do presente regulamento; Ordenar ao responsável pelo tratamento ou ao subcontratante que tome d) medidas para que as operações de tratamento cumpram as disposições do presente regulamento e, se necessário, de uma forma específica e dentro de um prazo determinado; Ordenar ao responsável pelo tratamento que comunique ao titular dos dados e) uma violação de dados pessoais; Impor uma limitação temporária ou definitiva ao tratamento de dados, ou f) mesmo a sua proibição; Ordenar a retificação ou o apagamento de dados pessoais ou a limitação do g) tratamento nos termos dos artigos 16.o, 17.o e 18.o, bem como a notificação dessas medidas aos destinatários a quem tenham sido divulgados os dados pessoais nos termos do artigo 17.o, n.o 2, e do artigo 19.o; Retirar a certificação ou ordenar ao organismo de certificação que retire uma h) certificação emitida nos termos dos artigos 42.o e 43.o, ou ordenar ao organismo de certificação que não emita uma certificação se os requisitos de certificação não estiverem ou deixarem de estar cumpridos; Impor uma coima nos termos do artigo i) 83.o, para além ou em vez das medidas referidas no presente número, consoante as circunstâncias de cada caso; Ordenar a suspensão do envio de dados para destinatários em países terceiros j) ou para organizações internacionais. Página 85 de 114 A autoridade australiana também tem a competência de impor determinações ou aceitar acordos45. Contudo não há uma previsão específica para a penalidade de advertência. 9.1.3 OPERACIONALIZAÇÃO Ao debruçar-se sobre o art. 52 da LGPD, pode-se interpretar que a aplicação da sanção de advertência deveria estar condicionada à determinação de adoção de medidas corretivas com indicação de prazo para seu cumprimento. No entanto, se tal condição fosse obrigatória, para os casos em que não houvesse a necessidade de adoção de medidas corretivas, principalmente para aqueles em que o infrator já corrigiu a conduta inadequada, a ANPD estaria impedida de aplicar a sanção de advertência, a mais branda dentre as estabelecidas no rol do art. 52. Tal medida soaria desproporcional quando comparada com a situação em que o infrator não corrigiu a conduta, permanecendo em descumprimento legal, em que a ANPD poderia aplicar a sanção de advertência com a determinação de adoção de medidas corretivas. Desta forma, sugere-se que a sanção de advertência possa ser aplicada pela ANPD, condicionada ou não, à adoção de medidas corretivas, conforme se verifique a necessidade de tal determinação. Ainda, a sanção de advertência poderá ser aplicada ao infrator ainda que tenha se verificado o atendimento das medidas de orientação e preventivas pelo infrator, durante a atividade de fiscalização, para os casos estabelecidos no art. 42 do RFPAS. Sendo assim, a proposta normativa estabelece hipóteses para aplicação da sanção de advertência, como nos casos em que não se justifique a imposição de pena mais grave ao infrator, quando a infração for leve ou que não ocorra em reincidência específica ou dadas as circunstâncias e a natureza da infração, houver necessidade de imposição de medidas corretivas. 9.2 MULTA SIMPLES 9.2.1 INTRODUÇÃO E PROBLEMA A multa é uma sanção largamente utilizada pelas autoridades reguladoras. Nesse sentido, um importante desafio da ANPD é definir um modelo regulatório que, mediante a discricionariedade do poder público, traga aos agentes de tratamento de dados previsibilidade e transparência no cálculo da multa. 45 OFFICE OF THE AUSTRALIAN INFORMATION COMMISSIONER. Disponível em: https://www.oaic.gov.au/privacy/privacy-decisions. Acesso em 11 abr. 2022 Página 86 de 114 O art. 53 dispõe que no cálculo do valor da multa a autoridade deverá definir metodologias que orientarão o cálculo do valor-base das sanções de multa, nos seguintes termos: Art. 53. A autoridade nacional definirá, por meio de regulamento próprio sobre sanções administrativas a infrações a esta Lei, que deverá ser objeto de consulta pública, as metodologias que orientarão o cálculo do valor-base das sanções de multa. § 1º As metodologias a que se refere o caput deste artigo devem ser previamente publicadas, para ciência dos agentes de tratamento, e devem apresentar objetivamente as formas e dosimetrias para o cálculo do valorbase das sanções de multa, que deverão conter fundamentação detalhada de todos os seus elementos, demonstrando a observância dos critérios previstos nesta Lei. § 2º O regulamento de sanções e metodologias correspondentes deve estabelecer as circunstâncias e as condições para a adoção de multa simples ou diária. A multa estabelecida na LGPD é um percentual que incide sobre o faturamento da pessoa jurídica de direito privado, conforme art. 52, inciso II: Art. 52. Os agentes de tratamento de dados, em razão das infrações cometidas às normas previstas nesta Lei, ficam sujeitos às seguintes sanções administrativas aplicáveis pela autoridade nacional: … II – multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração; Além disso, o §4º do mesmo artigo estabelece o seguinte: § 4º No cálculo do valor da multa de que trata o inciso II do caput deste artigo, a autoridade nacional poderá considerar o faturamento total da empresa ou grupo de empresas, quando não dispuser do valor do faturamento no ramo de atividade empresarial em que ocorreu a infração, definido pela autoridade nacional, ou quando o valor for apresentado de forma incompleta ou não for demonstrado de forma inequívoca e idônea. Dessa forma, a LGPD estabelece algumas diretrizes de como deve ser calculada a multa com base no faturamento. Contudo, ainda resta a esta Autoridade definir várias questões, como de que forma será calculado o valor base da multa, como será apurado o faturamento e como incidirá a multa quando não for possível obter o faturamento do infrator. Página 87 de 114 9.2.2 EXPERIÊNCIA NACIONAL E INTERNACIONAL Quanto às experiências nacionais, a Resolução nº 6/2016 da ANTAQ trata do tema da seguinte forma: Art. 35. Na ausência de definição quanto à natureza da infração administrativa no âmbito da regulamentação específica da ANTAQ, será observada a seguinte classificação para fins de aplicação desta Resolução: I – Natureza leve: a infração administrativa que preveja a cominação de multa de até R$ 150.000,00 (cento e cinquenta mil reais); II – Natureza média: a infração administrativa que preveja a cominação de multa acima de R$ 150.000,00 (cento e cinquenta mil reais) e até R$ 300.000,00 (trezentos mil reais); III – Natureza grave: a infração punível que preveja a cominação de multa acima de R$ 300.000,00 (trezentos mil reais) e até R$ 600.000,00 (seiscentos mil reais); e IV – Natureza gravíssima: a infração que preveja a cominação de multa acima de R$ 600.000,00 (seiscentos mil reais). Já a RN nº 846/2019 da Aneel estabelece em seu normativo o seguinte: Art. 21. A base de cálculo para aplicação de multa aos concessionários, permissionários ou autorizados de instalações ou serviços de energia elétrica será o valor da Receita Operacional Líquida – ROL ou o valor estimado da energia produzida nos casos de autoprodução e produção independente, ambos correspondentes aos doze meses anteriores à lavratura do Auto de Infração – AI. A Anatel possui modelo de cálculo do valor base disposto em anexo ao RASA, considerando o porte da empresa e classificação das infrações. Ainda, para cada natureza ou tipo infracional, a Anatel possui metodologia própria para cálculo do valor base da sanção de multa, senão vejamos: Portaria nº 786, de 26 de agosto de 2014 Dispõe sobre a metodologia de cálculo do valor base das sanções de multa relativa ao uso irregular do espectro de radiofrequências na execução de serviços de radiodifusão. Portaria nº 787, de 26 de agosto de 2014 Dispõe sobre a metodologia de cálculo do valor base das sanções de multa relativa ao uso irregular do espectro de radiofrequências na execução de serviços de telecomunicações. Portaria nº 788, de 26 de agosto de 2014 Página 88 de 114 Dispõe sobre a metodologia de cálculo do valor base das sanções de multa relativa à execução sem outorga de serviço de telecomunicações ou pelo uso não autorizado do espectro de radiofrequências. Portaria nº 789, de 26 de agosto de 2014 Dispõe sobre a metodologia de cálculo do valor base das sanções de multa relativa à utilização de produtos não homologados/certificados; do uso incorreto ou alteração de características técnicas em produtos homologados; da fabricação de produto em desacordo com a certificação/homologação; da utilização indevida do selo; do descumprimento dos compromissos que ensejaram a homologação (ausência de selo) e da comercialização de equipamento não homologado. Portaria nº 790, de 26 de agosto de 2014 Dispõe sobre a metodologia de cálculo do valor base das sanções de multa relativa ao licenciamento irregular de estações de telecomunicações. Portaria nº 791, de 26 de agosto de 2014 Dispõe sobre a metodologia de cálculo do valor base das sanções de multa relativa a descumprimentos a direito dos Usuários previstas na regulamentação. Resolução Interna nº 40, de 09 de agosto de 2021 Aprova a metodologia de cálculo para aplicação das sanções de multa em casos de óbice à atividade de fiscalização da Anatel. A CVM, na fixação da pena-base, estabelece, em sua Instrução nº 607/2019, os princípios a serem observados: Art. 63. Na fixação da pena-base, o Colegiado observará os princípios da proporcionalidade e da razoabilidade, bem como a capacidade econômica do infrator e os motivos que justifiquem a imposição da penalidade. § 1º Se adotado o critério de que trata o art. 61, inciso I, a pena-base da multa deverá observar os limites aplicáveis a cada infração, previstos no Anexo 63, sem prejuízo da aplicação cumulativa de outras modalidades de pena descritas no art. 60 desta Instrução. § 2º Na hipótese do § 1º em que a infração não esteja prevista no Anexo 63, o Colegiado deverá, com base na gravidade da conduta, enquadrá-la em um dos grupos previstos no referido Anexo. § 3º A pena-base das penalidades descritas no art. 60, incisos III a VI, deverá ser fixada em meses e não poderá ser superior a 10 (dez) anos. § 4º A pena-base da penalidade descrita no art. 60, inciso VII, deverá ser fixada em meses e não poderá ser superior a 5 (cinco) anos. Página 89 de 114 O cálculo do valor da pena-base das infrações relacionadas às atividades cinematográfica, videofonográfica e de comunicação audiovisual de acesso condicionado, bem como em outras a elas vinculadas estão dispostas para cada infração, conforme está disposto na Instrução Normativa nº 109/2012, da Ancine. Já o valor da multa das infrações à legislação dos planos privados de assistência à saúde está disposto individualmente para cada infração, conforme RN nº 489/2022 da ANS. Ainda, a Lei nº 12.846/2013, que dispõe sobre a responsabilização administrativa e civil de pessoas jurídicas pela prática de atos contra a administração pública, prevê multa sobre o faturamento de pessoas jurídicas, nos seguintes termos: Art. 6º Na esfera administrativa, serão aplicadas às pessoas jurídicas consideradas responsáveis pelos atos lesivos previstos nesta Lei as seguintes sanções: I – multa, no valor de 0,1% (um décimo por cento) a 20% (vinte por cento) do faturamento bruto do último exercício anterior ao da instauração do processo administrativo, excluídos os tributos, a qual nunca será inferior à vantagem auferida, quando for possível sua estimação; O Decreto nº 8.420/2015, que regulamenta a referida Lei, especifica como a multa deverá ser calculada: Art. 17. O cálculo da multa se inicia com a soma dos valores correspondentes aos seguintes percentuais do faturamento bruto da pessoa jurídica do último exercício anterior ao da instauração do PAR, excluídos os tributos: I – um por cento a dois e meio por cento havendo continuidade dos atos lesivos no tempo; II – um por cento a dois e meio por cento para tolerância ou ciência de pessoas do corpo diretivo ou gerencial da pessoa jurídica; III – um por cento a quatro por cento no caso de interrupção no fornecimento de serviço público ou na execução de obra contratada; IV – um por cento para a situação econômica do infrator com base na apresentação de índice de Solvência Geral – SG e de Liquidez Geral – LG superiores a um e de lucro líquido no último exercício anterior ao da ocorrência do ato lesivo; V – cinco por cento no caso de reincidência, assim definida a ocorrência de nova infração, idêntica ou não à anterior, tipificada como ato lesivo pelo art. 5º da Lei nº 12.846, de 2013 , em menos de cinco anos, contados da publicação do julgamento da infração anterior; e VI – no caso de os contratos mantidos ou pretendidos com o órgão ou entidade lesado, serão considerados, na data da prática do ato lesivo, os seguintes percentuais: Página 90 de 114 a) um por cento em contratos acima de R$ 1.500.000,00 (um milhão e quinhentos mil reais); b) dois por cento em contratos acima de R$ 10.000.000,00 (dez milhões de reais); c) três por cento em contratos acima de R$ 50.000.000,00 (cinquenta milhões de reais); d) quatro por cento em contratos acima de R$ 250.000.000,00 (duzentos e cinquenta milhões de reais); e e) cinco por cento em contratos acima de R$ 1.000.000.000,00 (um bilhão de reais). Art. 18. Do resultado da soma dos fatores do art. 17 serão subtraídos os valores correspondentes aos seguintes percentuais do faturamento bruto da pessoa jurídica do último exercício anterior ao da instauração do PAR, excluídos os tributos: I – um por cento no caso de não consumação da infração; II – um e meio por cento no caso de comprovação de ressarcimento pela pessoa jurídica dos danos a que tenha dado causa; III – um por cento a um e meio por cento para o grau de colaboração da pessoa jurídica com a investigação ou a apuração do ato lesivo, independentemente do acordo de leniência; IV – dois por cento no caso de comunicação espontânea pela pessoa jurídica antes da instauração do PAR acerca da ocorrência do ato lesivo; e V – um por cento a quatro por cento para comprovação de a pessoa jurídica possuir e aplicar um programa de integridade, conforme os parâmetros estabelecidos no Capítulo IV. Art. 19. Na ausência de todos os fatores previstos nos art. 17 e art. 18 ou de resultado das operações de soma e subtração ser igual ou menor a zero, o valor da multa corresponderá, conforme o caso, a: I – um décimo por cento do faturamento bruto do último exercício anterior ao da instauração do PAR, excluídos os tributos; ou II – R$ 6.000,00 (seis mil reais), na hipótese do art. 22. Em relação à apuração do faturamento do infrator, a CGU, por força do Decreto nº 8.420/2015, editou a Instrução Normativa nº 01/2015, que estabelece metodologia de apuração de faturamento. Nesse normativo, a CGU estabeleceu que o faturamento bruto compreende a receita bruta de que trata o artigo 12 do Decreto-Lei nº 1.598/1977, conforme art. 1º. Já o art. 2º estabelece: Para os contribuintes optantes pelo Regime Especial Unificado de Arrecadação de Tributos e Contribuições devidos pelas Microempresas e Empresas de Pequeno Porte – Simples Nacional, o faturamento bruto compreende a receita bruta de que trata o § 1º do art. 3º da Lei Complementar nº 123/2006. Página 91 de 114 Ainda de acordo com a Instrução Normativa nº 01/2015, os tributos a serem excluídos do faturamento bruto são os tributos de que trata o inciso III do § 1º do art. 12 do Decreto-Lei nº 1.598/1977. Tal decreto-lei trata do imposto sobre renda de pessoas jurídicas e estabelece que a receita bruta compreende: Art. 12. A receita bruta compreende: I – o produto da venda de bens nas operações de conta própria; II – o preço da prestação de serviços em geral; III – o resultado auferido nas operações de conta alheia; e IV – as receitas da atividade ou objeto principal da pessoa jurídica não compreendidas nos incisos I a III. Já a Lei Complementar nº 123/2006 institui o Estatuto Nacional da Microempresa e da Empresa de Pequeno Porte e estabelece, no art. 3º, § 1º, que a receita bruta é: “o produto da venda de bens e serviços nas operações de conta própria, o preço dos serviços prestados e o resultado nas operações em conta alheia, não incluídas as vendas canceladas e os descontos incondicionais concedidos.” O Manual emitido pela CGU aconselha o uso do Demonstrativo de Resultado do Exercício (DRE) da empresa para obter o faturamento bruto e os impostos que incidem sobre ele. Segundo esse manual, os impostos a serem deduzidos estarão denominados como “tributos sobre vendas” ou “impostos e contribuições incidentes sobre as vendas”. Caso não seja possível apurar o faturamento, o Decreto nº 8.420/2015 prevê o seguinte: Art. 22. Caso não seja possível utilizar o critério do valor do faturamento bruto da pessoa jurídica no ano anterior ao da instauração ao PAR, os percentuais dos fatores indicados nos art. 17 e art. 18 incidirão: I – sobre o valor do faturamento bruto da pessoa jurídica, excluídos os tributos, no ano em que ocorreu o ato lesivo, no caso de a pessoa jurídica não ter tido faturamento no ano anterior ao da instauração ao PAR; II – sobre o montante total de recursos recebidos pela pessoa jurídica sem fins lucrativos no ano em que ocorreu o ato lesivo; ou III – nas demais hipóteses, sobre o faturamento anual estimável da pessoa jurídica, levando em consideração quaisquer informações sobre a sua situação econômica ou o estado de seus negócios, tais como patrimônio, capital social, número de empregados, contratos, dentre outras. Parágrafo único. Nas hipóteses previstas no caput, o valor da multa será limitado entre R$ 6.000,00 (seis mil reais) e R$ 60.000.000,00 (sessenta milhões de reais). Página 92 de 114 Portanto, caso não seja possível apurar o faturamento do infrator, o mencionado decreto prevê que poderão ser levadas em consideração quaisquer informações sobre a sua situação econômica. A multa aplicada pelo Cade por infrações à ordem econômica também é um percentual que incide sobre o faturamento da empresa, conforme a Lei de Defesa da Concorrência: Art. 37. A prática de infração da ordem econômica sujeita os responsáveis às seguintes penas: I – no caso de empresa, multa de 0,1% (um décimo por cento) a 20% (vinte por cento) do valor do faturamento bruto da empresa, grupo ou conglomerado obtido, no último exercício anterior à instauração do processo administrativo, no ramo de atividade empresarial em que ocorreu a infração, a qual nunca será inferior à vantagem auferida, quando for possível sua estimação; Assim, a multa aplicada pelo Cade deve se dar sobre o faturamento no ramo de atividade. O § 2º do art. 37 estabelece que, no caso em que não se possa apurar o faturamento no ramo de atividade, o Cade poderá considerar o faturamento total da empresa ou grupo de empresas: § 2º No cálculo do valor da multa de que trata o inciso I do caput deste artigo, o Cade poderá considerar o faturamento total da empresa ou grupo de empresas, quando não dispuser do valor do faturamento no ramo de atividade empresarial em que ocorreu a infração, definido pelo Cade, ou quando este for apresentado de forma incompleta e/ou não demonstrado de forma inequívoca e idônea. O Guia de Dosimetria de multas de cartel, colocado em consulta pública em 2020, destaca que o termo “ramo de atividade” não era usado no direito da concorrência até a edição da Lei de Defesa da Concorrência e não há conceito definido para ele. Dessa forma, o Cade editou a Resolução nº 3/201246 (alterada pela Resolução n° 18/2016), que definiu 144 ramos de atividade. No entanto, o mencionado Guia pontua que “os ramos de atividade ali previstos são bastante amplos e exemplificativos, e utilizá-los como base de cálculo para multa, em alguns casos, pode resultar em penalidades desproporcionais à gravidade dos fatos e à abrangência da conduta”. O Guia continua afirmando que ainda houve casos em que a infração não se enquadrava em qualquer dos ramos de atividades estabelecidos na resolução. Por esse motivo, uma das modificações da mencionada resolução foi a adição do art. 2-A, que prevê que o ramo de atividade pode ser adaptado às especificidades da conduta. Assim, a 46 CONSELHO ADMINISTRATIVO DE DEFESA ECONÔMICA. Disponível em: http://antigo.cade.gov.br/assuntos/normas-elegislacao/resolucao/resolucao-3_2012-ramos-atividade.pdf/view. Acesso em 11 abr. 2022. Página 93 de 114 jurisprudência do Cade tem utilizado o faturamento no mercado afetado pela conduta como parâmetro para a aplicação de multa. O mercado afetado, em muitos casos, pode ser uma adaptação do ramo de atividade. Por exemplo, quando a infração aconteceu em um ramo de atividade disposto na Resolução nº 3/2012, mas apenas em um estado da federação, o faturamento usado não será o total, mas apenas o faturamento no estado em que a conduta ocorreu. Assim como estabelece a Lei de Defesa da Concorrência, o Guia do Cade afirma que é utilizado o faturamento bruto, sem dedução de impostos. Como o faturamento usado é o do exercício anterior à instauração do processo administrativo, que por sua vez, pode durar até alguns anos até a condenação, o faturamento geralmente é atualizado pela taxa SELIC. Além disso, em casos excepcionais, em que o faturamento da empresa infratora não for condizente com sua atividade (uma empresa “laranja”, por exemplo), o faturamento do grupo ou conglomerado pode ser usado. Quando não é possível utilizar o critério do faturamento, o inciso II do art. 37 da Lei de Defesa da Concorrência estabelece valores absolutos de multa que devem ser aplicados: II – no caso das demais pessoas físicas ou jurídicas de direito público ou privado, bem como quaisquer associações de entidades ou pessoas constituídas de fato ou de direito, ainda que temporariamente, com ou sem personalidade jurídica, que não exerçam atividade empresarial, não sendo possível utilizar-se o critério do valor do faturamento bruto, a multa será entre R$ 50.000,00 (cinquenta mil reais) e R$ 2.000.000.000,00 (dois bilhões de reais); O Guia do Cade afirma que, nesses casos, o Tribunal do Cade busca proporcionalidade na fixação das penas e pode considerar diferentes variáveis. Sobre as experiências internacionais, observa-se que na União Europeia47, Reino Unido48 e Califórnia49 está disposto na legislação ou regulamentação um valor máximo e mínimo de aplicação das multas, considerando a receita dos agentes e gravidade das infrações. 47 UNIÃO EUROPÉIA. GDPR Fines & Data Breach Penalties. Disponível em: https://www.gdpreu.org/compliance/fines-and-penalties/ Acesso em 23 set. 2021. 48 INFORMATION COMMISSIONER’S OFFICE. Statutory guidance on our regulatory action. Disponível em: https://ico.org.uk/media/about-the-ico/consultations/2618333/ico-draft-statutory-guidance.pdf Acesso em: 23 set. 2021. 49 ESTADOS UNIDOS. California Consumer Privacy Act of 2018. Califórnia, CA. Disponível em: https://leginfo.legislature.ca.gov/faces/codes_displayText.xhtml?division=3.&part=4.&lawCode=CIV&title=1.81.5. Acesso em 28 set. 2021. Página 94 de 114 9.2.3 OPÇÕES REGULATÓRIAS Dentre as opções regulatórias, identificou-se as seguintes: (i) adoção de fórmulas matemáticas para cada tipo de natureza de infração; e (ii) adoção de fórmula matemática única. Alternativa A – Adoção de fórmulas matemáticas para cada tipo de natureza de infração Como opção regulatória para solucionar o problema descrito anteriormente, a Alternativa A sugere a adoção de diferentes fórmulas matemáticas para quantificar a sanção de multa a ser imposta. Assim, os parâmetros trazidos pela LGPD são considerados para fins de valoração da pena base da sanção a ser imposta, a depender da natureza da infração. Alternativa B – Adoção de fórmula matemática única, com determinação de valores mínimo e máximo da pena Já a Alternativa B determina os valores mínimos e máximo para a pena base a ser aplicada, colocando-os em uma única fórmula matemática para quantificar a sanção. A motivação da quantificação dos parâmetros usados na fórmula dar-se-á por meio de argumentos dissertativos, mas por meio da observação de critérios objetivos, tal qual descrito nos tópicos do Tema 2. 9.2.4 IMPACTOS DAS ALTERNATIVAS Tabela 4 – Avaliação das alternativas regulatórias para o Tema 3 Critério Alternativa A – Adoção de fórmulas matemáticas para cada tipo de infração Alternativa B – Adoção de fórmula matemática única Implementação Mais complexa pois requer o desenvolvimento de uma fórmula específica para cada tipo ou natureza de infração. Menos complexa apesar de ser necessário criar uma fórmula que seja adequada para todo tipo de infração, independentemente de sua natureza. Previsibilidade Mais previsível, pois a fórmula já considera os parâmetros para fins de valoração da pena base da sanção a ser imposta. Menos previsível pois é preciso motivar a quantificação dos parâmetros. Proporcionalidade Não há como afirmar se a opção traz maior Não há como afirmar se a opção traz maior Página 95 de 114 proporcionalidade na aplicação da sanção. proporcionalidade na aplicação da sanção. Fonte: Elaboração pela equipe da Coordenação-Geral de Normatização 9.2.5 MODELO ESCOLHIDO E JUSTIFICATIVA Considerando o contexto em que a regulação do tratamento de dados pessoais se encontra, principalmente a falta de experiência na aplicação de sanções pela ANPD, visto que os artigos 52, 53 e 54 da LGPD, referentes às sanções administrativas, tiveram sua entrada em vigor em 1 de agosto de 2021, a Alternativa B aparece como o modelo a ser escolhido neste momento. É importante salientar que, para fixar na regulamentação uma única fórmula matemática a ser aplicada a todas as infrações, torna-se necessário que a ANPD tenha certeza de que a fórmula seja adequada para todo tipo de infração, independentemente de sua natureza, uma vez que, após delimitar sua aplicabilidade por meio da previsão abstrata da fórmula, a ANPD deverá adotá-la como regra e apenas afastá-la nos casos em que fique claro que o valor da multa não atende ao critério de proporcionalidade entre a gravidade da falta e a intensidade da sanção. A grande desvantagem da Alternativa A é que a ANPD deveria, para implementar a opção regulatória, desenvolver uma fórmula matemática para cada tipo de infração ou de acordo com a sua natureza. Assim, a fórmula matemática para o cálculo da pena base de infrações que afetam direitos de titulares seria diferente daquela para valorar infração de óbice à fiscalização ou de infrações de naturezas diversas como àquelas relativas ao não cumprimento de determinação da ANPD ou à não indicação de encarregado. Importante ressaltar que a discricionariedade existente na dosimetria das sanções administrativas, além de observar os parâmetros e critérios legais e regulamentares, também deve respeitar o princípio da isonomia, aplicando multas em valores próximos a infrações semelhantes e tratando de forma acentuadamente desigual infrações com gravidades muito diferentes. 9.2.6 OPERACIONALIZAÇÃO Cumpre ressaltar que a proposta normativa deve considerar as questões trazidas pelo Tema 2, quais sejam, os critérios e parâmetros para a definição da sanção. Para aplicação da sanção administrativa, a ANPD deverá classificar a infração, segundo critérios objetivos e as circunstâncias do caso concreto, em leve, média ou grave, considerando a gravidade e a natureza da infração e dos direitos dos pessoais afetados. Página 96 de 114 Conforme já visto, o inc. II do art. 52 estabelece como uma das sanções possíveis a multa simples, que poderá ser de até 2% do faturamento bruto da entidade, limitada até R$50.000.000. Considerando todo o exposto no Tema 2 e as demais seções do presente Tema, os parâmetros da fórmula e a relação entre eles devem ser definidos. Para operacionalizar a opção regulatória escolhida, propõe-se dividir didaticamente a metodologia do cálculo da multa em 4 (quatro) etapas: ✓ Etapa 1 – determinação da alíquota-base; ✓ Etapa 2 – determinação do valor-base da multa; ✓ Etapa 3 – determinação do valor da multa; e ✓ Etapa 4 – adequação aos limites mínimo e máximo da multa. Para a primeira etapa, definição da alíquota-base para fins de dosimetria da sanção de multa, a ANPD deverá classificar a infração em leve, média ou grave, considerando a gravidade e a natureza da infração e dos direitos dos titulares afetados. De acordo com a classificação da infração, determinam-se as alíquotas mínimas e máximas, conforme tabela a seguir: Tabela 5 – Alíquotas mínima e máxima para definição do valor base de multa Classificação Percentual do faturamento A1 A2 Leve 0,08% (oito centésimos por cento) 0,15% (quinze centésimos por cento) Média 0,13% (treze centésimos por cento) 0,50% (cinquenta centésimos por cento) Grave 0,45% (quarenta e cinco centésimos por cento) 1,50% (um inteiro e cinquenta centésimos por cento) Fonte: Elaboração pela equipe de projeto Após definição do intervalo de alíquotas, determina-se o grau do dano, para então, determinar-se a alíquota-base da sanção de multa, respeitando-se o intervalo de alíquotas de multa entre o mínimo e o máximo. 𝐴𝑏𝑎𝑠𝑒 = (𝐴2 − 𝐴1 ) 3 × 𝐺𝐷 + 𝐴1 Página 97 de 114 O valor-base da multa será calculado pela multiplicação da alíquota-base pelo faturamento bruto, excluído os tributos. Para os casos em que o infrator seja uma pessoa física ou uma pessoa jurídica sem receita, o valor-base da multa será calculado segundo fórmula a seguir, considerando-se faixas de valores absolutos, em reais, de acordo com a classificação da infração, segundo a Tabela 3, e o parâmetro de grau do dano. 𝑉𝑏𝑎𝑠𝑒 = (𝑉2 − 𝑉1 ) 3 × 𝐺𝐷 + 𝑉1 Tabela 6 – Valores mínimo e máximo para definição do valor base de multa para pessoas físicas Classificação Valor (em R$) V1 V2 Leve 1.500,00 (mil e quinhentos reais 3.500,00 (três mil e quinhentos reais) Média 3.000,00 (três mil reais) 7.000,00 (sete mil reais) Grave 6.750,00 (seis mil setecentos e cinquenta reais) 15.750,00 (quinze mil setecentos e cinquenta reais) Fonte: Elaboração pela equipe de projeto Sobre o valor-base da multa aplicam-se as circunstâncias agravantes e atenuantes, nos termos da proposta normativa. 𝑉𝑚𝑢𝑙𝑡𝑎 = [𝑉𝑏𝑎𝑠𝑒 × (1 + 𝐴𝑔𝑟𝑎𝑣𝑎𝑛𝑡𝑒𝑠)] × (1 − 𝐴𝑡𝑒𝑛𝑢𝑎𝑛𝑡𝑒𝑠) Para os casos em que a vantagem auferida seja estimável, sugere-se que o valor da multa resultante seja ao menos o valor do dobro da vantagem auferida. Caso o valor da multa seja menor, realiza-se a sua adequação para que o valor final da multa seja o dobro do valor da vantagem auferida. Por fim, adequa-se, quando necessário, o montante da multa aos valores mínimos de multa a serem aplicados previstos no Apêndice II da proposta de ato normativo e ao limite máximo de 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Página 98 de 114 Brasil no seu último exercício, excluídos os tributos, e não deverá ultrapassar R$ 50.000.000,00 (cinquenta milhões de reais) por infração. Para aferição do faturamento bruto do infrator, conforme art. 52, inc. II, sugere-se usar o conceito de receita bruta, disposto no Decreto-Lei nº 1.598/1977, art. 12. Segundo esse dispositivo legal, a receita bruta compreende: (i) o produto da venda de bens nas operações de contra própria; (ii) o preço da prestação de serviços em geral; (iii) o resultado auferido nas operações de conta alheia; e (iv) as receitas da atividade ou objeto principal da pessoa jurídica não compreendidas nos itens i a iii. Para empresas que optam pelo Simples Nacional, sugere-se usar o conceito de receita bruta que trata o §1º do art. 3º da Lei Complementar nº 123/2006, que compreende: (i) o produto da venda de bens e serviços nas operações de conta própria, (ii) o preço dos serviços prestados e (iii) o resultado nas operações em conta alheia, não incluídas as vendas canceladas e os descontos incondicionais concedidos. Ainda, sugere-se que o faturamento, para pessoas jurídicas de direito privado, inclusive sem fins lucrativos, nos termos da legislação vigente, associações de entidades ou pessoas constituídas de fato ou de direito, ainda que temporariamente, com ou sem personalidade jurídica, seja o somatório dos recursos recebidos. O art. 52, inc. II também prevê que, do faturamento bruto, serão excluídos os tributos. Sugere-se que os tributos a serem excluídos sejam aqueles dispostos no inc. III, § 1º, art. 12 do Decreto-Lei nº 1.598/1911, quais sejam, os tributos que incidem sobre a renda bruta da pessoa jurídica. Além disso, a LGPD não detalha qual a referência temporal do faturamento a ser considerado para fins da multa, apenas prevê que será “no seu último exercício”. Entende-se que a referência é o momento em que a multa está sendo aplicada. Dessa forma, o faturamento a ser considerado é aquele do exercício anterior ao momento da aplicação da sanção. Portanto, por exemplo, se o infrator registrou faturamento bruto, excluídos os tributos, de R$ 500.000 no exercício anterior, não houve qualquer dano a titulares ou à Administração Pública e a classificação da infração for leve, o valor base será calculado da seguinte forma: Exemplo 1 𝐴𝑏𝑎𝑠𝑒 = 0,15% − 0,08% 0 × 0 + 0,08% = 𝟎, 𝟎𝟖% 𝑉𝑏𝑎𝑠𝑒 = 𝑅$500.000,00 × 0,08% = 𝑹$ 𝟒𝟎𝟎, 𝟎𝟎 Página 99 de 114 Já se a empresa apresentou faturamento bruto de R$ 850 milhões, a infração foi classificada como média, houve dano de grau 2 ao titular ou à Administração Pública, o cálculo do valor base da multa será: Exemplo 2: 𝐴𝑏𝑎𝑠𝑒 = 0,50% − 0,13% 3 × 2 + 0,13% 𝐴𝑏𝑎𝑠𝑒 = 0,37% 3 × 2 + 0,13% 𝐴𝑏𝑎𝑠𝑒 = 0,123% × 2 + 0,13% 𝐴𝑏𝑎𝑠𝑒 = 0,246% + 0,13% 𝐴𝑏𝑎𝑠𝑒 = 𝟎, 𝟑𝟕𝟔% 𝑉𝑏𝑎𝑠𝑒 = 𝑅$850.000.000,00 × 0,376% = 𝑹$𝟑. 𝟐𝟎𝟏. 𝟔𝟔𝟔, 𝟔𝟕 Por fim, sobre o valor base da multa incidirão as circunstâncias agravantes e as atenuantes estabelecidas na proposta normativa. Em qualquer hipótese, o valor final da multa não poderá exceder 2% do faturamento bruto da pessoa jurídica de direito privado, excluído os tributos, nem tampouco R$ 50.000.000,00 (cinquenta milhões de reais). Retomando o Exemplo 1, se o infrator tiver incorrido em uma reincidência específica, tenha descumprido uma medida orientativa, não faça jus a qualquer atenuante e não há evidências que houve vantagem auferida ou pretendida, o valor final da multa será o seguinte: Agravantes Uma reincidência específica = R$400,00 x 10% = R$40,00 Descumprimento de uma medida orientativa = R$400,00 x 20% = R$80,00 Valor da multa 𝑉𝑚𝑢𝑙𝑡𝑎 = 𝑅$400,00 + 𝑅$40,00 + 𝑅$80,00 = 𝑹$𝟓𝟐𝟎, 𝟎𝟎 O valor da multa deve ser comparado com os limites mínimo e máximo. Para o exemplo em análise, o limite máximo será de R$10.000,00 (dez mil reais), equivalente a 2% do faturamento, e o limite mínimo será o constante do Apêndice II da proposta, qual seja R$3.000,00 (três mil reais) para infrações classificadas como leve. Assim, a sanção de multa que poderá ser aplicada ao caso em análise será de R$3.000,00 (três mil reais). Página 100 de 114 Valor final da multa 𝑉𝑓𝑖𝑛𝑎𝑙 = 𝐑$𝟑. 𝟎𝟎𝟎, 𝟎𝟎 Retomando agora o Exemplo 2, caso o infrator tenha descumprido uma medida preventiva, tenha incorrido em uma reincidência genérica, tenha cooperado com a Autoridade, bem como tenha comprovado a adoção de política de boas práticas e de governança, e não se verifique vantagem auferida ou pretendida, o valor final da multa será o seguinte: Agravantes Uma reincidência genérica = R$3.201.666,67 x 5% = R$160.083,33 Um descumprimento de medida preventiva = R$3.201.666,67 x 20% = R$640.333,33 Valor final com agravantes = R$3.201.666,67 + R$160.083,33 + R$640.333,33 = R$4.002.083,33 Atenuantes Política de boas práticas e de governança = R$4.002.083,33 x 20% = R$800.416,67 Cooperação = R$4.002.083,33 x 5% = R$200.104,17 Valor da multa 𝑉𝑚𝑢𝑙𝑡𝑎 = R$4.002.083,33 − R$1.000.520,84 = 𝐑$𝟑. 𝟎𝟎𝟏. 𝟓𝟔𝟐, 𝟒𝟗 O valor da multa deve ser comparado com os limites mínimo e máximo. Para o exemplo em análise, o limite máximo será de R$17.000.000,00 (dezessete milhões de reais), equivalente a 2% do faturamento, e o limite mínimo será o constante do Apêndice II da proposta, qual seja R$6.000,00 (seis mil reais) para infrações classificadas como leve para pessoas jurídicas de direito privado com faturamento. Assim, a sanção de multa que poderá ser aplicada ao caso em análise será de R$3.001.562,49 (três milhões mil e seiscentos e dois reais e quarenta e nove centavos). Valor final da multa 𝑉𝑓𝑖𝑛𝑎𝑙 = 𝐑$𝟑. 𝟎𝟎𝟏. 𝟓𝟔𝟐, 𝟒𝟗 Página 101 de 114 9.3 MULTA DIÁRIA 9.3.1 INTRODUÇÃO E PROBLEMA A multa diária é outra sanção estabelecida na LGPD, em seu art. 52, inc. III. Conforme o dispositivo da Lei, essa sanção deve observar os limites dispostos no inc. II do mesmo artigo, quais sejam o da multa simples, que é de até 2% do faturamento da pessoa jurídica de direito privado ou R$ 50.000.000 por infração. Além disso, o art. 53 da LGPD prevê que a ANPD editará regulamento estabelecendo as circunstâncias e condições para a adoção de multa simples ou diária e ainda dá outras disposições acerca da aplicação da multa diária: Art. 53. A autoridade nacional definirá, por meio de regulamento próprio sobre sanções administrativas a infrações a esta Lei, que deverá ser objeto de consulta pública, as metodologias que orientarão o cálculo do valor-base das sanções de multa. § 1º As metodologias a que se refere o caput deste artigo devem ser previamente publicadas, para ciência dos agentes de tratamento, e devem apresentar objetivamente as formas e dosimetrias para o cálculo do valorbase das sanções de multa, que deverão conter fundamentação detalhada de todos os seus elementos, demonstrando a observância dos critérios previstos nesta Lei. § 2º O regulamento de sanções e metodologias correspondentes deve estabelecer as circunstâncias e as condições para a adoção de multa simples ou diária. Art. 54. O valor da sanção de multa diária aplicável às infrações a esta Lei deve observar a gravidade da falta e a extensão do dano ou prejuízo causado e ser fundamentado pela autoridade nacional. Parágrafo único. A intimação da sanção de multa diária deverá conter, no mínimo, a descrição da obrigação imposta, o prazo razoável e estipulado pelo órgão para o seu cumprimento e o valor da multa diária a ser aplicada pelo seu descumprimento. Portanto, a LGPD já estabelece que o regulamento e a metodologia de aplicação de multa diária devem prever as circunstâncias e condições para a adoção da multa simples ou diária. Ademais, prevê que, para determinar o valor da multa diária, deve ser considerado a gravidade da falta e a extensão do dano ou prejuízo causado. A LGPD ainda define o conteúdo mínimo da intimação de multa diária. Dessa forma, a lei já determina os contornos gerais de como deverá ser aplicada a multa diária, bastando à ANPD determinar apenas a sua operacionalização. Página 102 de 114 9.3.2 EXPERIÊNCIA NACIONAL E INTERNACIONAL Outros órgãos também adotam a multa diária como sanção, como pode ser visto abaixo. A Lei de Defesa da Concorrência estabelece o valor de multa diária e as circunstâncias em que ela é aplicável pelo Cade: Art. 39. Pela continuidade de atos ou situações que configurem infração da ordem econômica, após decisão do Tribunal determinando sua cessação, bem como pelo não cumprimento de obrigações de fazer ou não fazer impostas, ou pelo descumprimento de medida preventiva ou termo de compromisso de cessação previstos nesta Lei, o responsável fica sujeito a multa diária fixada em valor de R$ 5.000,00 (cinco mil reais), podendo ser aumentada em até 50 (cinquenta) vezes, se assim recomendar a situação econômica do infrator e a gravidade da infração. Art. 40. A recusa, omissão ou retardamento injustificado de informação ou documentos solicitados pelo Cade ou pela Secretaria de Acompanhamento Econômico constitui infração punível com multa diária de R$ 5.000,00 (cinco mil reais), podendo ser aumentada em até 20 (vinte) vezes, se necessário para garantir sua eficácia, em razão da situação econômica do infrator. A ANTAQ também estabelece, na Resolução nº 3.259/2014, multa diária para infrações continuadas: Art. 55. A multa será aplicável quando houver previsão na norma específica da ANTAQ, observados o valor dela constante e os critérios de dosimetria estabelecidos pela ANTAQ. §1º A dosimetria levará em consideração, entre outros fatores, o porte da empresa ou entidade e a gravidade da infração aferida pelas circunstâncias agravantes e atenuantes. §2º No caso de infrações continuadas, poderá ser aplicada multa diária. A CMED também prevê multa diária para o não atendimento a requisição de informações, em caso de descumprimento de compromisso de ajustamento de conduta e em caso de atraso da apresentação de pedido de preço, conforme a Resolução nº 2/ 2018: Art. 11. O descumprimento de atos emanados pela CMED, tais como a recusa, omissão, falsidade ou retardamento injustificado no encaminhamento de informações ou documentos, sujeita-se à multa diária de R$ 10.000,00 (dez mil reais), podendo ser aumentada em até 20 (vinte) vezes, se necessário, para garantir eficácia, nos termos da Lei nº 10.742, de 06 de outubro de 2003. (…) Art. 36. Na hipótese de atraso do cronograma ou descumprimento do compromisso, a Secretaria-Executiva notificará a compromissária para, no Página 103 de 114 prazo de 15 (quinze) dias, contados da data da assinatura do Aviso de Recebimento (AR), manifestar-se sobre os motivos do seu descumprimento. (…) § 2º Os atrasos do cronograma de execução do compromisso serão punidos com multa diária prevista em cláusula específica, correspondente à mora em sua execução. (…) Art. 9º O valor base da multa será fixado conforme os seguintes critérios, de acordo com cada grupo de infração: (…) IV – Quanto às infrações classificadas no inciso II do art. 5º, observar-se-ão as seguintes metodologias: a) quando as infrações envolverem a oferta de medicamento com preço aprovado, nos termos da alínea “a” do inciso II do art. 5º: (…) d) quando se tratar das infrações relacionadas nas alíneas “d”, “e” e “f” do inciso II do art. 5º: (…) 3. Em caso de não apresentação na data estipulada, a CMED, de ofício, definirá provisoriamente o preço máximo permitido, sendo a multa a ser aplicada computada a partir da diferença entre o preço praticado pelo infrator e o preço definido provisoriamente pela CMED, nos termos do inciso IV deste artigo, acrescido de multa diária a ser aplicada até a efetiva apresentação do pedido de preço pelo infrator, nos termos do art. 11 desta Resolução. A Aneel, na RN nº 846/2019, também estabelece multa diária para descumprimento de obrigação de fazer e de decisões: Art. 15 (…) § 2º O descumprimento à obrigação de fazer ou de não fazer implica multa diária, conforme o porte do agente setorial ou a natureza da entidade, a ser definida no ato que estabelece a obrigação e aplicada no máximo por trinta dias e limitada a 2% (dois por cento) da base de cálculo a que se refere o art. 21. Art. 16 (…) § 1º Na hipótese da aplicação das penalidades de embargo de obras ou de interdição de instalações, o descumprimento à decisão que a impôs implicará multa diária, nas condições estabelecidas no art. 15. A Instrução Normativa nº 109/2012 da Ancine também estabelece multa diária como uma das sanções. Para cada infração, são estabelecidos valores mínimos e máximos de multa que podem ser impostas de maneira simples ou diária. Página 104 de 114 Art. 47. A empresa no exercício das atividades de produção, programação ou empacotamento da comunicação audiovisual de acesso condicionado que descumprir quaisquer das obrigações dispostas na Lei nº. 12.485/11 sujeitarse-á às sanções previstas na mencionada Lei e no presente capítulo, sem prejuízo de outras previstas em lei, inclusive as de natureza civil e penal: I – advertência; II – multa, inclusive diária; III – suspensão temporária do credenciamento; IV – cancelamento do credenciamento. O RASA da Anatel prevê a aplicação de multa diária para as infrações à Lei nº 11.934/2009, que dispõe sobre limites à exposição humana a campos elétricos, magnéticos e eletromagnéticos. A multa diária é aplicada no atraso de cumprimento de obrigações. Art. 22. O valor da sanção de multa diária aplicável aos infratores da Lei nº 11.934, de 2009, deve observar a gravidade da falta e a extensão do dano ou prejuízo causado ao bem jurídico tutelado pela referida lei, e ser fundamentado pela Agência. § 1º A intimação da sanção de multa diária deverá conter, no mínimo, a descrição da obrigação imposta, o prazo razoável estipulado pela Agência para seu cumprimento e o valor da multa diária a ser aplicada pelo seu descumprimento. § 2º A sanção de multa diária incide a partir do primeiro dia de atraso no cumprimento da obrigação, sem necessidade de nova intimação para tanto. § 3º A aplicação da sanção de multa diária não exclui a aplicação das demais sanções administrativas estabelecidas neste Regulamento, nem a adoção de outras medidas administrativas que visam evitar danos ou prejuízos ao bem jurídico tutelado pela Lei nº 11.934, de 2009. A RN nº 489/2022 da ANS estabelece multa diária para casos de descumprimento de obrigações. O art. 12 dispõe sobre as regras para aplicação das multas diárias estabelecidas no art. 18, que por sua vez, estabelece sanções específicas para cada infração. Já o art. 13 dispõe sobre a multa diária estabelecia na Lei nº 9.961/2000: RN n° 489/2022 Art. 13. As operadoras e os prestadores de serviço de saúde estão sujeitos à multa de R$ 5.000,00 (cinco mil reais) por dia, nos termos do §1º do art. 4º da Lei n.º 9.961, de 2000. §1º A aplicação da multa a se refere este artigo será precedida de intimação da ANS para o cumprimento da obrigação, com a definição de prazo não inferior a 15 dias, bem como a indicação à sujeição da penalidade de que trata o caput deste artigo. §2º Expirado o prazo previsto no parágrafo anterior, a ANS expedirá notificação ao prestador de serviço, com a fixação do termo final para o Página 105 de 114 cumprimento da obrigação, após o que será computada a multa diária prevista neste artigo. §3º A multa pode ser aumentada em até vinte vezes, se necessário, para garantir a sua eficácia em razão da situação econômica da operadora ou do prestador de serviços. Lei nº 9.961/2000 Art. 4(…) § 1º A recusa, a omissão, a falsidade ou o retardamento injustificado de informações ou documentos solicitados pela ANS constitui infração punível com multa diária de R$ 5.000,00 (cinco mil reais), podendo ser aumentada em até vinte vezes, se necessário, para garantir a sua eficácia em razão da situação econômica da operadora ou prestadora de serviços. Em relação à experiência internacional, nota-se que alguns países europeus50 já usaram multa diárias para compelir infratores a cumprirem obrigações de fazer. Nota-se, portanto, que a multa diária é usada principalmente nos casos de atraso ou descumprimento de obrigações de fazer para que o infrator seja compelido a regularizar sua conduta. 9.3.3 OPÇÕES REGULATÓRIAS Como já visto, art. 54, Parágrafo Único da LGPD deixa claro que a multa diária deve ser imposta no caso de descumprimento de obrigação, já que afirma que a intimação para esse tipo de sanção deverá conter “a descrição da obrigação imposta, o prazo razoável e estipulado pelo órgão para o seu cumprimento e o valor da multa diária a ser aplicada pelo seu descumprimento”. Portanto, o legislador claramente estabeleceu a multa diária para dissuadir um comportamento irregular permanente pelo infrator. Resta à ANPD estabelecer em que circunstâncias e condições a multa diária será aplicada, conforme o art. 53, §2º. Nesse ponto, a LGPD também já fornece uma diretriz ao afirmar que “o valor da sanção de multa diária aplicável às infrações a esta Lei deve observar a gravidade da falta e a extensão do dano ou prejuízo causado”, conforme art. 54. O mesmo artigo também prevê que a imposição de multa diária deve ser fundamentada pela autoridade. Assim, as alternativas disponíveis seriam em relação à operacionalização. Alternativa A – aplicar a multa diária por meio de metodologia específica 50 COMISSION NATIONALE DE L’INFORMATIQUE ET DES LIBERTÉS. Disponível em: https://www.cnil.fr/fr/cookies-sanction-de-60- millions-deuros-lencontre-de-google-llc-et-de-40-millions-deuros-lencontre-de. Acesso em 11 abr. 2022. NORUEGA. Disponível em: https://lovdata.no/dokument/NL/lov/2018-06-15-38/KAPITTEL_7#KAPITTEL_7. Acesso em 11 abr. 2022. Página 106 de 114 Nessa alternativa, assim como a aplicação de multa simples, a ANPD desenvolveria uma metodologia específica para calcular o valor da multa diária. A vantagem dessa alternativa é que ela traz mais previsibilidade ao agente regulado. Por outro lado, considerando a diversidade de contextos em que a multa diária pode ser aplicada uma metodologia pode se mostrar inflexível. Alternativa – B – prever diretrizes para a aplicação de multa diária Na segunda alternativa, o regulamento preveria diretrizes para a aplicação da multa, com base no já previsto pela LGPD. Tal alternativa garante mais flexibilidade para a autoridade, embora não garanta tanta previsibilidade para o agente regulado. 9.3.4 MODELO ESCOLHIDO E JUSTIFICATIVA Considerando a diversidade de situações de aplicação da multa diária, além da diversidade de setores alcançados pela LGPD, entende-se que a Alternativa B é a mais adequada por conferir maior flexibilidade à autoridade. Por outro lado, as diretrizes são específicas o suficiente para garantir segurança jurídica aos agentes regulados. 9.3.5 OPERACIONALIZAÇÃO Dessa forma, assim como amplamente usado por outras agências reguladoras e órgãos, as circunstâncias para a utilização de multa diária devem ser os casos de atraso e descumprimento de obrigações de fazer, quando o infrator permanecer cometendo a mesma irregularidade, mesmo após a imposição de multa simples ou praticar infração permanente ou continuada. Casos em que o infrator dificulta ou impede a fiscalização (por exemplo, ao não fornecer informações requisitadas) também devem ser objeto de multa diária. Em todos esses casos, o objetivo é compelir o infrator a adotar conduta regular. Assim, sugere-se que as seguintes circunstâncias ensejem a aplicação de multa diária: (i) após notificado do cometimento de irregularidades que tenham sido praticadas, deixar de sanálas no prazo assinalado; (ii) permanecer cometendo a mesma irregularidade, mesmo após a aplicação da multa simples; (iii) opuser embaraço à fiscalização, desde que a aplicação da multa diária seja necessária para desobstruir a atividade de fiscalização; (iv) praticar infração permanente; ou (v) descumprir cláusulas de Termo de Ajustamento de Conduta. Ademais, tendo em vista o art. 54 da LGPD, sugere-se os seguintes parâmetros a serem observados na aplicação de multa diária: (i) a condição econômica do infrator; (ii) a classificação da infração; e (iii) o grau do dano. Página 107 de 114 O normativo deve prever também objetivamente a partir de quando é considerado o atraso no cumprimento de decisões. Assim, sugere-se que a multa diária passe a incidir do primeiro dia de atraso no cumprimento da sanção não pecuniária ou da determinação estabelecida pela ANPD, após a ciência oficial acerca da intimação da decisão que a estipulou, independente de nova intimação; ou do dia seguinte ao da ciência oficial acerca da intimação da decisão que a estipulou até o cumprimento da obrigação. 9.4 PUBLICIZAÇÃO DA INFRAÇÃO 9.4.1 INTRODUÇÃO E PROBLEMA Outra sanção estabelecida pela LGPD é a “publicização da infração após devidamente apurada e confirmada a sua ocorrência”. Cabe à ANPD estipular como e em que circunstâncias se dará tal sanção. 9.4.2 EXPERIÊNCIA NACIONAL E INTERNACIONAL Foram encontrados poucos exemplos de normativos no Brasil que estabelecem a publicização da infração como uma sanção. A Lei de Defesa da Concorrência, em seu art. 38, estabelece como uma das sanções de infração contra a ordem econômica: I – a publicação, em meia página e a expensas do infrator, em jornal indicado na decisão, de extrato da decisão condenatória, por 2 (dois) dias seguidos, de 1 (uma) a 3 (três) semanas consecutivas A Lei nº 12.846/2013, conhecida como lei anticorrupção, também prevê como uma das sanções a “publicação extraordinária da decisão condenatória”, no art. 6º, inc. II. O Decreto nº 8.420/2015, que regulamenta a referida lei, detalha, no art. 24, como deve ser feita a publicação: Art. 24. A pessoa jurídica sancionada administrativamente pela prática de atos lesivos contra a administração pública, nos termos da Lei nº 12.846, de 2013 , publicará a decisão administrativa sancionadora na forma de extrato de sentença, cumulativamente: I – em meio de comunicação de grande circulação na área da prática da infração e de atuação da pessoa jurídica ou, na sua falta, em publicação de circulação nacional; II – em edital afixado no próprio estabelecimento ou no local de exercício da atividade, em localidade que permita a visibilidade pelo público, pelo prazo mínimo de trinta dias; e III – em seu sítio eletrônico, pelo prazo de trinta dias e em destaque na página principal do referido sítio. Parágrafo único. A publicação a que se refere o caput será feita a expensas da pessoa jurídica sancionada. Página 108 de 114 No âmbito internacional, a lei espanhola de proteção de dados estabelece que serão publicadas as infrações cuja multa seja superior a € 1.000.000, nos seguintes termos do art. 76: 4. Será objeto de publicação no Diário Oficial do Estado a informação que identifica o infrator, a infração cometida e o montante da sanção aplicada quando a autoridade competente for a Agência Espanhola de Proteção de Dados, a sanção exceder um milhão de euros, e o infrator for uma pessoa jurídica51 A autoridade francesa, por sua vez, também pode determinar a publicação de sua decisão, o que poderá acontecer imediatamente à notificação, em publicações, jornais ou mídias de sua escolha, às custas do autuado. Neste caso, o autuado poderá recorrer da decisão. 9.4.3 OPERACIONALIZAÇÃO Entende-se que a forma como a sanção está disposta na lei não permite elaborar alternativas de como ela pode ser implementada. Resta apenas definir em que circunstâncias se dará a publicização. Assim, entende-se que a infração deve ser publicizada quando for de interesse público geral. Para cada caso concreto, a ANPD deverá determinar a forma que se dará a publicização, como duração, veículo e conteúdo. Sugere-se também que o fique claro que os custos da publicização são arcados pelo infrator. 9.5 BLOQUEIO E ELIMINAÇÃO DOS DADOS PESSOAIS 9.5.1 INTRODUÇÃO E PROBLEMA A LGPD prevê ainda as seguintes sanções: V – bloqueio dos dados pessoais a que se refere a infração até a sua regularização; VI – eliminação dos dados pessoais a que se refere a infração; Tais sanções são bastante específicas da área de proteção de dados pessoais. Resta apenas à ANPD definir as circunstâncias em que serão aplicadas e detalhar seu procedimento. 51 ESPANHA. Traduzido livremente de “4. Será objeto de publicación en el Boletín Oficial del Estado la información que identifique al infractor, la infracción cometida y el importe de la sanción impuesta cuando la autoridad competente sea la Agencia Española de Protección de Datos, la sanción fuese superior a un millón de euros y el infractor sea una persona jurídica”. Disponível em: https://www.boe.es/buscar/act.php?id=BOE-A-2018-16673. Acesso em 11 abr. 2022. Página 109 de 114 9.5.2 EXPERIÊNCIA NACIONAL E INTERNACIONAL Como tais sanções são bastante específicas à área de proteção de dados pessoais, não existem previsões idênticas em outras normas nacionais. Em que pese estarem previstas em outras legislações internacionais, não foi possível identificar como tais sanções são efetivamente aplicadas. 9.5.3 OPERACIONALIZAÇÃO Entende-se que a forma como as sanções estão dispostas na lei não permite elaborar alternativas de como ela pode ser implementada. Em relação à sanção de bloqueio de dados pessoais, o art. 52, inciso V, determina que deverá ser aplicada até a regularização da conduta do infrator, de forma a compeli-lo a corrigir sua conduta. Sugere-se que o normativo detalhe em que consistem as sanções de bloqueio e de eliminação de dados pessoais. Por sua especificidade, sugere-se que sejam avaliadas no caso concreto. 9.6 SUSPENSÃO PARCIAL DO FUNCIONAMENTO DO BANCO DE DADOS, SUSPENSÃO DO EXERCÍCIO DA ATIVIDADE DE TRATAMENTO DOS DADOS PESSOAIS E PROIBIÇÃO PARCIAL OU TOTAL DO EXERCÍCIO DE ATIVIDADES RELACIONADAS A TRATAMENTO DE DADOS 9.6.1 INTRODUÇÃO E PROBLEMA A LGPD prevê, entre as sanções aplicáveis: i) suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador; ii) a suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, e iii) a proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados. Cabe à ANPD estipular como e em que circunstâncias se darão tais sanções, não havendo opções regulatórias. A lei determina que tais penas somente poderão ser aplicadas após já ter sido imposta ao menos 1 (uma) das sanções de que tratam os incisos II, III, IV, V e VI do artigo 52 para o mesmo caso concreto e, nos casos de controladores submetidos a outros órgãos e entidades com competências sancionatórias, esses órgãos deverão ser ouvidos antes da aplicação de alguma dessas sanções. Página 110 de 114 9.6.2 EXPERIÊNCIA NACIONAL E INTERNACIONAL Alguns órgãos e entidades da Administração Pública tratam, de alguma forma, das sanções ora em análise. Vejamos: A Instrução nº 607/2019/ da CVM dispõe: “Art. 60. A CVM poderá impor as seguintes penalidades, isolada ou cumulativamente: I – advertência; II – multa; III – inabilitação temporária, até o máximo de 20 (vinte) anos, para o exercício de cargo de administrador ou de conselheiro fiscal de companhia aberta, de entidade do sistema de distribuição ou de outras entidades que dependam de autorização ou registro na Comissão de Valores Mobiliários; IV – suspensão da autorização ou registro para o exercício das atividades de que trata a Lei nº 6.385, de 1976; V – inabilitação temporária, até o máximo de 20 (vinte) anos, para o exercício das atividades de que trata a Lei nº 6.385, de 7 de dezembro de 1976; VI – proibição temporária, até o máximo de 20 (vinte) anos, de praticar determinadas atividades ou operações, para os integrantes do sistema de distribuição ou de outras entidades que dependam de autorização ou registro na Comissão de Valores Mobiliários; e VII – proibição temporária, até o máximo de 10 (dez) anos, de atuar, direta ou indiretamente, em uma ou mais modalidades de operação no mercado de valores mobiliários. (…) Art. 64. As penalidades de suspensão, inabilitação e proibição somente serão aplicadas nos casos de infração grave, assim definidas em normas da CVM, ou nos casos de reincidência. Parágrafo único. No âmbito da Lei nº 6.404, de 15 de dezembro de 1976, consideram-se graves as infrações descritas no Anexo 64 desta Instrução.” Já a Resolução nº 233/2003 da ANTT estabelece o seguinte: Art. 4º Nos casos em que houver previsão legal para aplicação da pena de suspensão, cassação, decretação de caducidade da outorga ou declaração de inidoneidade, a Diretoria da ANTT poderá, alternativamente, aplicar a pena de multa, considerando a natureza e a gravidade da infração, os danos dela resultantes para o serviço e para os usuários, a vantagem auferida pelo infrator, as circunstâncias agravantes e atenuantes, os antecedentes do infrator e a reincidência genérica ou específica. (…) A RN nº 489/2022 da ANS determina: Página 111 de 114 Art. 2º A infração dos dispositivos da Lei nº 9.656, de 3 de junho de 1998, e de seus regulamentos, bem como aos dispositivos dos contratos firmados, a qualquer tempo, entre operadoras e beneficiários, sujeitam os infratores da legislação às seguintes penalidades, sem prejuízo de outras estabelecidas na legislação vigente: I – advertência; II – multa pecuniária; III – cancelamento da autorização de funcionamento e alienação da carteira da operadora; IV – suspensão de exercício do cargo; V – inabilitação temporária para o exercício de cargo em qualquer operadora de planos de assistência à saúde; e VI – inabilitação permanente para exercício de cargos de direção ou em conselhos de qualquer operadora, bem como em entidades de previdência privada, sociedades seguradoras, corretoras de seguros e instituições financeiras. §1º As penalidades previstas nos incisos I e II são aplicáveis, isolada ou cumulativamente com aquela prevista no inciso III, às operadoras de planos privados de assistência à saúde; as penalidades previstas nos incisos I, IV, V e VI, são aplicáveis aos seus administradores, membros de conselhos administrativos, deliberativos, consultivos, fiscais e assemelhados. §2º Aos prestadores de serviço de saúde é aplicável a sanção prevista no inciso II. O RGPD também dispõe sobre o tema: “Art. 58 2. Cada autoridade de controlo dispõe dos seguintes poderes de correção: (…)f) Impor uma limitação temporária ou definitiva ao tratamento de dados, ou mesmo a sua proibição; ; (…) j) Ordenar a suspensão do envio de dados para destinatários em países terceiros ou para organizações internacionais. (…) 4. O exercício dos poderes conferidos à autoridade de controlo nos termos do presente artigo está sujeito a garantias adequadas, que incluem o direito à ação judicial efetiva e a um processo equitativo, previstas no direito da União e dos Estados-Membros, em conformidade com a Carta. 5. Os Estados-Membros estabelecem por lei que as suas autoridades de controlo estão habilitadas a levar as violações do presente regulamento ao conhecimento das autoridades judiciais e, se necessário, a intentar ou de outro modo intervir em processos judiciais, a fim de fazer aplicar as disposições do presente regulamento. 6. Os Estados-Membros podem estabelecer por lei que as suas autoridades de controlo terão outros poderes para além dos previstos nos n.os 1, 2 e 3. O Página 112 de 114 exercício desses poderes não deve prejudicar o efetivo funcionamento do capítulo VII.” A aplicação de sanções pela CNIL é regida pela Lei nº 78-17, de 1978 e prevê, nos termos dos arts. 20 e 21, além de advertência e medidas corretivas, as seguintes penalidades: • limitação temporária ou definitiva da atividade de tratamento de dados, sua proibição ou a cassação de uma autorização; • cassação de uma certificação; • suspensão do fluxo de dados a um destinatário localizado em um terceiro país ou a uma organização internacional, e • suspensão parcial ou total da decisão que aprovou as normas corporativas globais. 9.6.3 OPERACIONALIZAÇÃO A suspensão parcial do funcionamento do banco de dados consiste em descontinuar o funcionamento de banco de dados em desacordo com a lei e deverá se concretizar com a paralisação das operações de tratamento indicadas no inciso X do art. 5º da LGDP. Similar, a suspensão do exercício de atividade de tratamento de dados pessoais implica na descontinuidade da atividade de tratamento irregular. Tratando-se de medida temporária, as operações de arquivamento e armazenamento de dados pessoais poderão ser mantidas. A LGPD estabelece que a suspensão se refere apenas aos dados ou às atividades relativas à infração cometida, respectivamente. Sendo, no primeiro caso, a suspensão prorrogável por igual período até a regularização da atividade de tratamento pelo controlador, deverá caber a este informar a autoridade nacional sobre a normalização requerida. Adicionalmente, avalia-se que o prazo de suspensão deverá ser estipulado no caso concreto levando em consideração a complexidade para regularização, a gravidade da infração, o interesse público e o dano aos direitos dos titulares. Por sua vez, a proibição do exercício das atividades de tratamento deverá se concretizar com o impedimento parcial ou total, a ser definido no caso concreto, das operações de tratamento indicadas no inciso X do art. 5º da LGDP. De modo a diferenciar a proibição da suspensão do exercício da atividade de tratamento, neste caso, deverá ser providenciada a eliminação dos dados pessoais ou do banco de dados relativos à atividade de tratamento proibida. Página 113 de 114 10 IMPLEMENTAÇÃO E MONITORAMENTO DO ATO NORMATIVO A partir das alternativas escolhidas, o regulamento de aplicação de sanções será implementado por meio de resolução da ANPD, que será objeto de consulta pública nos termos da Portaria nº 16/2021. Em observância ao disposto no art. 4º do Decreto nº 10.139/2019, entendese que a resolução deverá entrar em vigor na data de sua publicação, tendo em vista que os arts. 52, 53 e 54 da LGPD entraram em vigor no dia 1º de agosto de 2021 e o Regulamento do Processo de Fiscalização e do Processo Administrativo Sancionador entrou em vigor em 28 de outubro de 2021, não havendo razão para que se prolongue a produção de efeitos do regulamento de aplicação de sanção. O monitoramento do modelo adotado poderá ocorrer por meio do acompanhamento dos indicadores descritos abaixo que buscam refletir os objetivos da elaboração da norma. Tabela 7 – Descrição do Indicador de Monitoramento de Conformidade Efetividade da norma Conformidade Indicador Quantidade de Autos de Infração/Quantidade de Processos de Fiscalização ou Preparatório Finalizados Parâmetro do cenário inicial 0 Área responsável CGF Fontes de dados SEI Frequência de coleta de dados Trimestral Frequência de cálculo do indicador Anual Meta relacionada ao indicador NA Data alvo para atingimento da meta NA Fonte: Elaboração pela equipe de projeto Tabela 8 – Descrição do Indicador de Monitoramento de Segurança Jurídica Segurança jurídica Segurança Jurídica Indicador Quantidade de processos judiciais questionando as sanções aplicadas com sucesso/ Quantidade de processos judiciais Parâmetro do cenário inicial 0 Página 114 de 114 Área responsável CGF e Procuradoria da ANPD Fontes de dados Sistemas do Judiciário Frequência de coleta de dados Semestral Frequência de cálculo do indicador Anual Meta relacionada ao indicador NA Data alvo para atingimento da meta NA Fonte: Elaboração pela equipe de projeto Tabela 9 – Descrição do Indicador de Monitoramento de Metodologia Eficácia Metodologia Indicador Quantidade de processos com substituição de sanções/Quantidade de processos sancionadores Parâmetro do cenário inicial 0 Área responsável CGF Fontes de dados SEI Frequência de coleta de dados Semestral Frequência de cálculo do indicador Anual Meta relacionada ao indicador NA Data alvo para atingimento da meta NA Fonte: Elaboração pela equipe de projeto Tabela 10 – Descrição do Indicador de Monitoramento de Interpretação Normativa Eficácia Interpretação normativa Indicador Quantidade de processos ou pedidos de interpretação quanto ao ato normativo Parâmetro do cenário inicial 0 Área responsável CGN e OUV Fontes de dados e-OUV e SEI Frequência de coleta de dados Semestral Frequência de cálculo do indicador Anual Meta relacionada ao indicador NA Data alvo para atingimento da meta NA Fonte: Elaboração pela equipe de projeto