Órgão: Presidência da República/Autoridade Nacional de Proteção de Dados RESOLUÇÃO CD/ANPD nº XXX, de XX de XXXX de 20XX Aprova o Regulamento de Dosimetria e Aplicação de Sanções Administrativas. O CONSELHO DIRETOR DA AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS, no uso das atribuições que lhe foram conferidas pelo art. 55-J, IV, e §2º da Lei nº 13.709, de 14 de agosto de 2018, Lei Geral de Proteção de Dados Pessoais (LGPD), pelo art. 2º, IV, e art. 29 do Anexo I do Decreto nº 10.474, de 26 de agosto de 2020, e previstas no Regimento Interno da Autoridade Nacional de Proteção de Dados, aprovado pela Portaria nº 1, de 8 de março de 2021, CONSIDERANDO o que consta nos autos do Processo nº 00261.000358/2021-02; e CONSIDERANDO a deliberação tomada no Circuito Deliberativo nº /2022, RESOLVE: Art. 1º Aprovar o Regulamento de Dosimetria e Aplicação de Sanções Administrativas, na forma do Anexo a esta Resolução. Art. 2º O Regulamento do Processo de Fiscalização e do Processo Administrativo Sancionador no âmbito da Autoridade Nacional de Proteção de Dados, aprovado pela Resolução CD/ANPD nº 1, de 28 de outubro de 2021, publicada no Diário Oficial da União de 29 de outubro de 2021, passa a vigorar com as seguintes alterações: “Art. 32. ………………………………………………………………………………… ……………………………………………………………………………………………………. § 1º Poderão ser adotadas outras medidas não previstas neste artigo, se compatíveis com o disposto nos arts. 30 e 31. § 2º O não atendimento de medida preventiva enseja a progressão da atuação da ANPD para, a seu critério, adotar outras medidas preventivas ou para a atuação repressiva, com a adoção das medidas compatíveis, e será considerado agravante caso seja instaurado o processo administrativo sancionador. § 3º As medidas dispostas neste Capítulo IV não se confundem com as medidas preventivas a que se refere o art. 26, inciso IV do Anexo I do Decreto nº 10.474, de 2020.” (NR) “Art. 58. ………………………………………………………………………………… ……………………………………………………………………………………………………. § 2º O recurso administrativo deverá ser dirigido à autoridade que proferiu a decisão, que exercerá o juízo de admissibilidade, e deverá ser protocolizado na forma indicada na intimação. § 3º O recurso devolverá ao Conselho Diretor o conhecimento da matéria impugnada.” (NR) “Juízo de Admissibilidade Art. 60. No juízo de admissibilidade, a autoridade que proferiu a decisão analisará o conhecimento do recurso, verificará eventual reconsideração e declarará os efeitos em que o recurso será recebido, se a decisão for mantida.” (NR) “Art. 61. ………………………………………………………………………………… § 1º Caberá recurso contra a decisão que não conhecer do recurso administrativo, que deverá ser encaminhado à deliberação do Conselho Diretor. § 2º A reforma da decisão sobre admissibilidade do recurso administrativo ensejará, na mesma decisão, a deliberação sobre o mérito do recurso originalmente interposto.” (NR) “Efeito suspensivo Art. 62-A. O recurso administrativo poderá ter efeito suspensivo, limitado à parte da decisão contestada, quando requerido pelo recorrente e houver fundado receio de prejuízo de difícil ou incerta reparação. Parágrafo único. A decisão que rejeitar a concessão de efeito suspensivo poderá ser revista pelo Diretor Relator, nos próprios autos.” (NR) Art. 3º Ficam revogados os seguintes dispositivos do Regulamento do Processo de Fiscalização e do Processo Administrativo Sancionador no âmbito da Autoridade Nacional de Proteção de Dados, aprovado pela Resolução CD/ANPD nº 1, de 28 de outubro de 2021, publicada no Diário Oficial da União de 29 de outubro de 2021: I – §4º do art. 35; e II – §3ºdo art. 36. Art. 4º Esta Resolução entra em vigor na data de sua publicação. WALDEMAR GONÇALVES ORTUNHO JUNIOR Diretor-Presidente ANEXO REGULAMENTO DE DOSIMETRIA E APLICAÇÃO DE SANÇÕES ADMINISTRATIVAS CAPÍTULO I DISPOSIÇÕES GERAIS Art. 1º Este Regulamento tem por objetivo estabelecer parâmetros e critérios para aplicação de sanções administrativas pela Autoridade Nacional de Proteção de Dados (ANPD), bem como as formas e dosimetrias para o cálculo do valor-base das sanções de multa. Art. 2º Para fins deste Regulamento adotam-se as seguintes definições: I – infração: descumprimento de obrigação estabelecida na Lei nº 13.709, de 14 de agosto de 2018 (LGPD), e nos regulamentos expedidos pela ANPD; II – infração permanente: quando o infrator, mediante ação ou omissão, pratica a infração ao mesmo dispositivo normativo, prolongando a conduta no tempo; III – infrator: aquele que comete infração; IV – medidas corretivas: medidas determinadas pela ANPD com a finalidade de corrigir a infração e reconduzir o infrator à plena conformidade, devendo ser aplicada conjuntamente com a sanção de advertência, nos termos deste Regulamento; V – política de boas práticas e de governança: normas e processos internos, que assegurem o cumprimento abrangente da legislação de proteção de dados pessoais, estabelecidos e implementados pelo agente de tratamento mediante a adoção de: a) regras de boas práticas e de governança, nos termos do art. 50, caput e § 1º, da LGPD; ou b) programa de governança em privacidade, nos termos do § 2º do art. 50 da LGPD; VI – reincidência específica: repetição de infração pelo mesmo infrator ao mesmo dispositivo legal ou regulamentar, no período de cinco anos contado do trânsito em julgado do processo administrativo sancionador, até a data do cometimento da nova infração; VII – reincidência genérica: cometimento de infração pelo mesmo infrator, independentemente do dispositivo legal ou regulamentar, no período de cinco anos contado do trânsito em julgado do processo administrativo sancionador até a data do cometimento da nova infração, excluído o caso de reincidência específica; e VIII – trânsito em julgado: atributo de decisão definitiva proferida em processo administrativo sancionador, tornando-a imutável e indiscutível dentro do processo em que foi proferida. CAPÍTULO II DA APLICAÇÃO DAS SANÇÕES Seção I Das Sanções Art. 3º As infrações sujeitarão o infrator às seguintes sanções administrativas: I – advertência; II – multa simples; III – multa diária; IV – publicização da infração; V – bloqueio dos dados pessoais a que se refere a infração; VI – eliminação dos dados pessoais a que se refere a infração; VII – suspensão parcial do funcionamento do banco de dados a que se refere a infração; VIII – suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração; e IX – proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados. § 1º As sanções previstas nos incisos VII, VIII e IX do caput deste artigo somente serão aplicadas: I – após já ter sido imposta ao menos uma das sanções de que tratam os incisos II, III, IV, V e VI do caput deste artigo para o mesmo caso concreto; e II – se verificada a insuficiência da sanção anteriormente aplicada para garantir a conformidade do autuado à legislação de proteção de dados. § 2º Se for o caso, antes da aplicação das sanções de que trata o § 1º deste artigo, a autoridade competente conferirá prazo para a manifestação do principal órgão regulador setorial, com competências sancionatórias, ao qual se submete o controlador. § 3º É facultado ao infrator apresentar alegações finais à ANPD após a manifestação do órgão regulador. § 4º A sanção poderá ser aplicada após o decurso do prazo de que tratam os §§2ºe 3º deste artigo, com ou sem a manifestação do órgão regulador. § 5º O disposto nos incisos I e IV a IX, do caput deste artigo poderá ser aplicado às entidades e aos órgãos públicos, sem prejuízo do disposto na Lei nº 8.112, de 11 de dezembro de 1990, na Lei nº 8.429, de 2 de junho de 1992, e na Lei nº 12.527, de 18 de novembro de 2011. Art. 4º As sanções serão aplicadas após procedimento administrativo mediante decisão fundamentada da autoridade administrativa, assegurado o direito à ampla defesa, ao contraditório e ao devido processo legal, nos termos da Lei nº 9.784, de 29 de janeiro de 1999, da LGPD, do Regimento Interno da Autoridade Nacional de Proteção de Dados e do Regulamento do Processo de Fiscalização e do Processo Administrativo Sancionador, aprovado pela Resolução CD/ANPD nº 1, de 28 de outubro de 2021. Art. 5º As sanções serão aplicadas de forma gradativa, isolada ou cumulativamente, de acordo com as peculiaridades do caso concreto. § 1º A aplicação de sanção não exclui a possibilidade de adoção de outras medidas administrativas pela ANPD. § 2º O não cumprimento da sanção aplicada ou a ausência de regularização da conduta no prazo estipulado ensejará a progressão da atuação da ANPD para a aplicação de sanções mais graves, sem prejuízo da adoção das demais medidas legais cabíveis. Art. 6º A intimação da sanção será realizada conforme o previsto no Regulamento do Processo de Fiscalização e do Processo Administrativo Sancionador, aprovado pela Resolução CD/ANPD nº 1, de 2021, e deverá conter, no mínimo, quando aplicável: I – o prazo e as condições de aferição ou de demonstração do cumprimento das medidas aplicadas, incluindo, se for caso, os dados, a categoria dos dados ou os elementos do banco de dados abrangidos; e, se for o caso, II – o valor da multa simples ou da multa diária e a indicação do prazo para pagamento. Seção II Dos Parâmetros e Critérios para Definição das Sanções Art. 7º Na definição da sanção, devem ser considerados os seguintes parâmetros e critérios: I – a gravidade e a natureza das infrações e dos direitos pessoais afetados; II – a boa-fé do infrator; III – a vantagem auferida ou pretendida pelo infrator; IV – a condição econômica do infrator; V – a reincidência específica; VI – a reincidência genérica; VII – o grau do dano; VIII – a cooperação do infrator; IX – a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados, em consonância com a LGPD; X – a adoção de política de boas práticas e governança; XI – a pronta adoção de medidas corretivas; e XII – a proporcionalidade entre a gravidade da falta e a intensidade da sanção. Seção III Da Classificação das Infrações Art. 8º As infrações são classificadas, segundo a gravidade e a natureza das infrações e dos direitos pessoais afetados, em: I – leve; II – média; ou III – grave. § 1º A infração será considerada leve quando não verificada nenhuma das hipóteses relacionadas nos §§ 2º ou 3º deste artigo. § 2º A infração será considerada média quando verificada uma das seguintes hipóteses, desde que não seja classificada como grave: I – envolver tratamento de dados pessoais em larga escala; ou II – afetar significativamente interesses e direitos fundamentais dos titulares. § 3º A infração será considerada grave quando: I – verificada uma ou mais hipóteses estabelecidas no § 2º deste artigo e cumulativamente, pelo menos, uma das seguintes: a) o infrator auferir ou pretender auferir vantagem econômica em decorrência da infração cometida; b) a infração implicar risco à vida ou à integridade física dos titulares; c) a infração envolver tratamento de dados sensíveis ou de dados pessoais de crianças e adolescentes e de idosos; d) o infrator realizar tratamento de dados pessoais sem amparo em uma das hipóteses legais previstas na LGPD; e) o infrator prevalecer-se da fraqueza ou ignorância do titular, tendo em vista sua idade, saúde, conhecimento ou condição social; f) o infrator realizar tratamento com efeitos discriminatórios ilícitos ou abusivos; ou g) verificada a má-fé do infrator ou a adoção sistemática de práticas irregulares; II – constituir obstrução à atividade de fiscalização. § 4º O tratamento de dados pessoais em larga escala será caracterizado quando abranger número significativo de titulares, considerando-se, ainda, o volume de dados envolvidos, bem como a duração, a frequência e a extensão geográfica do tratamento realizado. §5º O tratamento de dados pessoais que possa afetar significativamente interesses e direitos fundamentais será caracterizado, dentre outras situações, naquelas em que a atividade de tratamento puder impedir o exercício de direitos ou a utilização de um serviço, assim como ocasionar danos materiais ou morais aos titulares, tais como discriminação, violação à integridade física, ao direito à imagem e à reputação, fraudes financeiras ou roubo de identidade. Seção IV Da Aplicação de Advertência Art. 9º A ANPD poderá aplicar a sanção de advertência quando: I – a infração for leve ou média e não caracterizar reincidência específica; ou II – houver necessidade de imposição de medidas corretivas. Parágrafo único. A sanção de advertência poderá ser aplicada ainda que se tenha verificado o atendimento, pelo infrator, das medidas preventivas a ele impostas durante a atividade de fiscalização. Seção V Da Aplicação de Multa Diária Art. 10. A sanção de multa diária será estabelecida de forma motivada, visando a assegurar o cumprimento, em prazo certo, de uma sanção não pecuniária ou de uma determinação estabelecida pela ANPD, observado o limite total previsto para a aplicação da multa simples, bem como os seguintes parâmetros: I – a classificação da infração; e II – o grau do dano, nos termos do Apêndice I deste Regulamento. § 1º A sanção de multa diária poderá ser aplicada na hipótese do caput deste artigo ou quando o infrator: I – após notificado do cometimento de irregularidades que tenham sido praticadas, deixar de saná-las no prazo assinalado; II – praticar obstrução à atividade de fiscalização, desde que a aplicação da multa diária seja necessária para desobstrui-la; III – praticar infração permanente; ou IV – descumprir cláusulas de Termo de Ajustamento de Conduta. § 2º A sanção de multa diária incide a partir: I – do primeiro dia de atraso no cumprimento da sanção não pecuniária ou da determinação estabelecida pela ANPD, após a ciência oficial acerca da intimação da decisão que a estipulou, independentemente de nova intimação; ou II – do dia seguinte ao da ciência oficial acerca da intimação da decisão que a estipulou até o cumprimento da obrigação. Seção VI Da Aplicação de Multa Simples Art. 11. A ANPD aplicará a sanção de multa simples quando: I – o infrator não tenha atendido as medidas de orientação, preventivas ou corretivas a ele impostas; II – a infração for classificada como grave; ou III – pela natureza da infração e as circunstâncias do caso concreto, da atividade de tratamento ou dos dados pessoais, não for possível ou adequado aplicar outra sanção. Art. 12. No cálculo do valor-base da multa simples, devem ser considerados os seguintes aspectos: I – a classificação da infração; II – o faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil referente ao último exercício anterior disponível ao da aplicação da sanção, excluídos os tributos; e III – o grau do dano, nos termos do Apêndice I deste Regulamento. § 1º Nos casos em que o infrator seja uma pessoa física ou uma pessoa jurídica sem faturamento, devem ser considerados para o valor-base da multa simples apenas os incisos I e III do caput deste artigo. § 2º Para fins de apuração do disposto no inciso II do caput, o faturamento compreende: I – a receita bruta de que trata o art. 12 do Decreto-Lei nº 1.598, de 26 de dezembro de 1977; II – a receita bruta de que trata o §1º do art. 3º da Lei Complementar nº 123, de 14 de dezembro de 2006, para pessoas jurídicas de direito privado que optam pelo Simples Nacional; ou III – somatório de recursos recebidos, para pessoas jurídicas de direito privado sem fins lucrativos, nos termos da legislação vigente. § 3º Nos casos em que o infrator não apresentar documentação inequívoca e idônea ou o valor for apresentado de forma incompleta, a ANPD arbitrará o faturamento, podendo considerar: I – o valor máximo de faturamento previsto nos incisos I e II do art. 3º ou no § 1º do art. 18-A, conforme o caso, da Lei Complementar nº 123, de 14 de dezembro de 2006, no caso dos optantes pelo Simples Nacional; II – o valor máximo de faturamento previsto no art. 4º, § 1º, I, da Lei Complementar nº 182, de 1º de junho de 2021, no caso de startups; III – o faturamento do grupo econômico referente ao ramo de atividade empresarial em que ocorreu a infração; IV – o faturamento total do grupo econômico, caso não disponível a informação de que trata o inciso III; ou V – nos demais casos, o limite de faturamento correspondente ao valor máximo de multa de R$ 50.000.000,00 (cinquenta milhões de reais). § 4º Excluem-se do faturamento os tributos de que trata o inciso III do § 1º do art. 12 do DecretoLei nº 1.598, de 1977. Art. 13. Para a definição do valor da multa simples, será utilizada, para cada infração cometida, a metodologia descrita no Apêndice I deste Regulamento, observando-se os limites mínimos previstos no Apêndice II. Parágrafo único. O valor da multa simples: I – não poderá ser inferior ao dobro da vantagem auferida ou pretendida, quando estimável, observado o limite máximo previsto no inciso II; e II – será de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração. Art. 14. O valor da multa simples será acrescido nos percentuais abaixo, caso incidam as seguintes circunstâncias agravantes: I – 10% (dez por cento) para cada caso de reincidência específica, até o limite de 40% (quarenta por cento); II – 5% (cinco por cento) para cada caso de reincidência genérica, até o limite de 20% (vinte por cento); III – 20% (vinte por cento) para cada medida de orientação ou preventiva descumprida no processo de fiscalização ou do procedimento preparatório que precedeu o processo administrativo sancionador, até o limite de 80% (oitenta por cento); e IV – 30% (trinta por cento) para cada medida corretiva descumprida, até o limite de 90% (noventa por cento). §1º Na hipótese de incidência de mais de um dos incisos deste artigo, deverão ser somados os percentuais relativos a cada fator. §2º Na hipótese de haver registros computáveis a título de reincidência específica além do suficiente para a incidência do percentual máximo de agravamento previsto no inciso I deste artigo, os excedentes ingressarão na categoria de reincidência genérica, para o acréscimo previsto no inciso II. Art. 15. O valor da multa simples será reduzido, nos percentuais abaixo, caso incidam as seguintes circunstâncias atenuantes: I – nos casos de cessação da infração: a) 75% (setenta e cinco por cento), se previamente à instauração de procedimento preparatório pela ANPD; b) 50% (cinquenta por cento), se após a instauração de procedimento preparatório e até a instauração de processo administrativo sancionador; ou c) 30% (trinta por cento), se após a instauração de processo administrativo sancionador e até a prolação da decisão de primeira instância no âmbito do processo administrativo sancionador; II – 20% (vinte por cento), nos casos de implementação de política de boas práticas e de governança ou de adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar os danos aos titulares, voltados ao tratamento seguro e adequado de dados, até a prolação da decisão de primeira instância no âmbito do processo administrativo sancionador; III – 20% (vinte por cento), nos casos em que o infrator tenha comprovado a implementação de medidas capazes de reverter ou mitigar os efeitos da infração sobre os titulares de dados pessoais afetados, previamente à instauração de procedimento preparatório ou processo administrativo sancionador pela ANPD; e IV – 5% (cinco por cento), nos casos em que se verifique a cooperação ou boa-fé por parte do infrator. § 1º Para efeitos dos incisos I e III deste artigo, não serão consideradas atenuantes a cessação da infração e a adoção de medidas capazes de reverter ou mitigar os efeitos da infração decorrentes do mero cumprimento de determinação administrativa ou judicial. § 2º Na hipótese de incidência de mais de um dos incisos deste artigo, deverão ser somados os percentuais relativos a cada fator. § 3º Cabe ao infrator o ônus de comprovar perante a ANPD o cumprimento dos requisitos previstos neste artigo. Art. 16. Incidirão sobre o valor-base da multa as circunstâncias agravantes constantes do art. 14 e, sobre este resultado, as atenuantes estabelecidas no art. 15 deste Regulamento, observados, em qualquer caso, os limites mínimos previstos no Apêndice II. Seção VII Do Pagamento da Sanção de Multa Art. 17. A multa deverá ser paga no prazo de até trinta dias, contados a partir da ciência oficial acerca da intimação da decisão de aplicação de sanção. Parágrafo único. Quando não houver pagamento da multa no prazo do caput, o seu valor deve ser acrescido dos seguintes encargos: I – juros de mora, contados do primeiro dia do mês subsequente ao do vencimento, equivalentes à taxa referencial do Sistema Especial de Liquidação e Custódia (Selic), para títulos federais, acumulada mensalmente, até o último dia do mês anterior ao pagamento, e de 1% (um por cento) no mês do pagamento; e II – multa moratória de 0,33% (trinta e três centésimos por cento) por dia de atraso, até o limite de 20% (vinte por cento), calculada a partir do primeiro dia subsequente ao do vencimento do prazo para pagamento da sanção administrativa imputada definitivamente, até o dia em que ocorrer o seu pagamento, nos termos da legislação federal aplicável. Art. 18. O infrator que renunciar expressamente ao direito de recorrer da decisão de primeira instância, fará jus a um fator de redução de 25% (vinte e cinco por cento) no valor da multa aplicada, caso faça o recolhimento no prazo para pagamento definido no caput do art. 17. Art. 19. O pagamento realizado após a intimação da decisão de aplicação da sanção não prejudica o direito de interposição de recurso administrativo. Parágrafo único. Em caso de provimento do recurso administrativo, o valor da multa paga será restituído com correção pelos juros correspondentes à taxa Selic ou de outro índice que vier a substituí-lo, conforme a legislação em vigor. Seção VIII Da Publicização da Infração Art. 20. Considerando a relevância e o interesse público da matéria, a ANPD poderá aplicar ao infrator a sanção de publicização, que consiste na divulgação da infração pelo próprio infrator, após devidamente apurada e confirmada a sua ocorrência. §1º A sanção de publicização deverá indicar o teor, o meio, a duração e o prazo para o seu cumprimento. §2º Os ônus relacionados à publicização da infração serão suportados exclusivamente pelo infrator. Art. 21. A sanção de publicização da infração não se confunde com a publicação de decisão de aplicação de sanção administrativa no Diário Oficial da União ou com os demais atos realizados pela ANPD para fins de atendimento ao princípio da publicidade administrativa. Seção IX Do Bloqueio dos Dados Pessoais Art. 22. O bloqueio consiste na suspensão temporária de qualquer operação de tratamento com os dados pessoais a que se refere a infração, mediante a sua guarda, até a regularização da conduta pelo infrator. §1º O infrator deverá informar o bloqueio dos dados, de maneira imediata, aos agentes de tratamento com os quais tenha realizado uso compartilhado de dados, para que repitam idêntico procedimento, exceto nos casos em que esta comunicação seja comprovadamente impossível ou implique esforço desproporcional. §2º Para efetuar o desbloqueio dos dados pessoais, o infrator deverá comprovar junto à ANPD a regularização de sua conduta. Seção X Da Eliminação dos Dados Pessoais Art. 23. A ANPD poderá determinar a eliminação dos dados pessoais a que se refere a infração. Parágrafo único. A sanção de eliminação consiste na exclusão de dado ou de conjunto de dados armazenados em banco de dados. Seção XI Da Suspensão Parcial do Funcionamento do Banco de Dados Art. 24. A suspensão parcial do funcionamento do banco de dados constitui medida que visa a suspender a continuidade do funcionamento de banco de dados em desacordo com a legislação de proteção de dados pessoais. §1º A sanção de suspensão parcial do funcionamento do banco de dados será aplicada pelo período máximo de seis meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador, levando em consideração a complexidade para regularização e a classificação da infração. §2º Para a determinação do prazo, a ANPD deverá considerar o interesse público, o impacto aos direitos dos titulares de dados pessoais, a gravidade da infração e a complexidade para regularização da atividade de tratamento pelo infrator. §3º A regularização da atividade de tratamento deverá ser comprovada pelo infrator, para o restabelecimento do funcionamento do banco de dados parcialmente suspendido. Seção XII Da Suspensão do Exercício de Atividade de Tratamento dos Dados Pessoais Art. 25. A ANPD poderá determinar a suspensão do exercício de atividade de tratamento dos dados pessoais a que se refere a infração, com o fim de assegurar o cumprimento das normais regulamentares e legais. §1º A sanção a que se refere o caput será aplicada pelo período máximo de seis meses, prorrogável por igual período. §2º Para a determinação do prazo, a ANPD deverá considerar o interesse público, o impacto aos direitos dos titulares de dados pessoais e a classificação da infração. Seção XIII Da Proibição Parcial ou Total do Exercício de Atividades Relacionadas a Tratamento de Dados Art. 26. A proibição do exercício de atividades relacionadas a tratamento de dados pessoais consiste no impedimento parcial ou total das operações de tratamento de dados pessoais. Art. 27. A sanção de proibição do exercício de atividades relacionadas a tratamento de dados pessoais poderá ser aplicada, nos casos em que: I – houver reincidência em infração punida com suspensão parcial do funcionamento do banco de dados ou suspensão do exercício da atividade de tratamento dos dados pessoais; II – ocorrer tratamento de dados pessoais com fins ilícitos ou sem amparo em hipótese legal; ou III – o infrator perder ou não atender as condições técnicas e operacionais para manter o adequado tratamento de dados pessoais. Seção XIV Da Substituição de Sanções Art. 28. A ANPD poderá afastar a metodologia de dosimetria de sanção de multa ou substituir a aplicação de sanção por outra constante neste Regulamento, nos casos em que se constatar prejuízo à proporcionalidade entre a gravidade da infração e a intensidade da sanção, observado o disposto neste Regulamento e nas demais normas aplicáveis. Parágrafo único. A decisão de que trata o caput deve ser fundamentada, indicando explicitamente a desproporcionalidade constatada, o interesse público a ser protegido, os critérios de conveniência e oportunidade adotados e os parâmetros de substituição da sanção. CAPÍTULO III DAS DISPOSIÇÕES FINAIS Art. 29. As disposições constantes deste Regulamento aplicam-se também aos processos administrativos em curso quando de sua entrada em vigor. APÊNDICE I AO REGULAMENTO DE DOSIMETRIA E APLICAÇÃO DE SANÇÕES ADMINISTRATIVAS Metodologia para aplicação de sanção de multa 1. OBJETIVO Este Apêndice descreve a metodologia de cálculo do valor das sanções de multa simples aplicáveis por infrações à Lei nº 13.709, de 14 de agosto de 2018, e aos regulamentos expedidos pela Autoridade Nacional de Proteção de Dados (ANPD). 2. REFERÊNCIAS 2.1. Lei nº 13.709, de 14 de agosto de 2018 – Lei Geral de Proteção de Dados Pessoais; 2.2. Lei nº 9.784, de 29 de janeiro de 1999, que regula o processo administrativo no âmbito da Administração Pública Federal; 2.3. Resolução CD/ANPD nº 1, de 28 de outubro de 2021, que aprova o Regulamento do Processo de Fiscalização e do Processo Administrativo Sancionador no âmbito da ANPD; 2.4. Portaria nº 1, de 8 de março de 2021, que aprova o Regimento Interno da ANPD. 3. FÓRMULA DE CÁLCULO O valor das sanções de multa simples é determinado pela seguinte fórmula: 𝑉𝑚𝑢𝑙𝑡𝑎 = [𝑉𝑏𝑎𝑠𝑒 × (1 + 𝐴𝑔𝑟𝑎𝑣𝑎𝑛𝑡𝑒𝑠)] × (1 − 𝐴𝑡𝑒𝑛𝑢𝑎𝑛𝑡𝑒𝑠) Onde: Vmulta = valor da multa; Vbase = valor-base da multa; 𝐴𝑔𝑟𝑎𝑣𝑎𝑛𝑡𝑒𝑠 = soma dos percentuais, na forma decimal, das circunstâncias agravantes; e 𝐴𝑡𝑒𝑛𝑢𝑎𝑛𝑡𝑒𝑠 = soma dos percentuais, na forma decimal, das circunstâncias atenuantes. 4. APLICAÇÃO DA FÓRMULA DE CÁLCULO Para facilitar o entendimento, propõe-se dividir didaticamente a metodologia do cálculo da multa simples em 4 (quatro) etapas: ✓ Etapa 1 – determinação da alíquota-base; ✓ Etapa 2 – determinação do valor-base da multa; ✓ Etapa 3 – determinação do valor da multa; e ✓ Etapa 4 – adequação aos limites mínimo e máximo da multa. Etapa 1 4.1 Determinação da alíquota-base (Abase) Para definição da alíquota-base para fins de dosimetria da sanção de multa, a ANPD deverá, primeiramente, classificar a infração em leve, média ou grave, conforme os critérios previstos no Regulamento de Dosimetria e Aplicação de Sanções Administrativas. De acordo com a classificação da infração, determinam-se as alíquotas mínimas e máximas, conforme Tabela 1 a seguir: Tabela 1 – Alíquotas mínima e máxima para definição do valor base de multa Classificação Percentual do faturamento A1 A2 Leve 0,08% (oito centésimos por cento) 0,15% (quinze centésimos por cento) Média 0,13% (treze centésimos por cento) 0,50% (cinquenta centésimos por cento) Grave 0,45% (quarenta e cinco centésimos por cento) 1,50% (um inteiro e cinquenta centésimos por cento) Após definição do intervalo de alíquotas, determina-se o grau do dano por meio de uma escala de 0 a 3, conforme Tabela 2 abaixo. Tabela 2 – Valores para Grau do dano Valor Grau do Dano 3 A infração ocasiona lesão ou ofensa a direitos ou interesses difusos, coletivos ou individuais, que, dadas as circunstâncias extraordinárias do caso, têm impacto irreversível ou de difícil reversão sobre os titulares afetados, de ordem material ou moral, ocasionando, entre outras situações, discriminação, violação à integridade física, ao direito à imagem e à reputação, fraudes financeiras ou roubo de identidade; ou Danos decorrentes de litigância de má-fé, tais como, entre outras hipóteses previstas na legislação processual, alteração da verdade dos fatos, uso do processo para conseguir objetivo ilegal, resistência injustificada ao andamento do processo, atuação temerária em qualquer ato do processo ou impedimento da atuação da ANPD. 2 A infração ocasiona lesão ou ofensa a direitos ou interesses difusos, coletivos ou individuais, que, dadas as circunstâncias do caso, geram impactos aos titulares, de ordem material ou moral, que não se enquadram nos critérios indicados na descrição do grau de dano 0, 1 ou 3; ou Dano decorrente do envio de informações intempestivas ou descumprimento intempestivo com prejuízo direto para o processo de fiscalização ou administrativo sancionador ou para terceiros e que não decorra de litigância de má-fé. 1 A infração ocasiona lesão ou ofensa a direitos ou interesses de um número reduzido de titulares, com impacto de ordem material ou moral limitado, que pode ser revertido ou compensado com relativa facilidade; ou Envio ou disponibilização de informações ou descumprimento de determinação fora dos prazos ou condições estabelecidos pela ANPD, sem prejuízo direto para o processo de fiscalização ou administrativo sancionador ou para terceiros e que não decorra de litigância de má-fé. 0 A infração não ocasiona danos ou somente ocasiona danos com impactos insignificantes aos titulares, que decorrem de situações previsíveis ou corriqueiras e que não justificam a necessidade de compensação. Após a definição do parâmetro grau do dano, determina-se a alíquota-base da sanção de multa, respeitando-se o intervalo de alíquotas de multa entre o mínimo e o máximo. 𝐴𝑏𝑎𝑠𝑒 = (𝐴2 − 𝐴1 ) 3 × 𝐺𝐷 + 𝐴1 Onde: A2 = alíquota máxima em função da classificação da infração; A1 = alíquota mínima em função da classificação da infração; GD = grau do dano causado pela infração; e Abase = alíquota-base. Etapa 2 4.2 Determinação do valor-base (Vbase) O valor-base da multa será calculado pela multiplicação da alíquota-base pelo faturamento bruto, excluídos os tributos. 𝑉𝑏𝑎𝑠𝑒 = 𝐴𝑏𝑎𝑠𝑒 × (𝐹𝑎𝑡𝑢𝑟𝑎𝑚𝑒𝑛𝑡𝑜 − 𝑇𝑟𝑖𝑏𝑢𝑡𝑜𝑠) Onde: Vbase = valor-base da multa; Abase = alíquota-base; 𝐹𝑎𝑡𝑢𝑟𝑎𝑚𝑒𝑛𝑡𝑜 = faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil referente ao último exercício anterior disponível ao da aplicação da sanção; e 𝑇𝑟𝑖𝑏𝑢𝑡𝑜𝑠 = tributos incidentes sobre o faturamento da pessoa jurídica de direito privado. Para os casos em que o infrator seja uma pessoa física ou uma pessoa jurídica sem receita, o valor-base da multa será calculado segundo fórmula a seguir, considerando-se faixas de valores absolutos, em reais, de acordo com a classificação da infração, segundo a Tabela 3, e o parâmetro de grau do dano, a ser considerado conforme a Tabela 2: 𝑉𝑏𝑎𝑠𝑒 = (𝑉2 − 𝑉1 ) 3 × 𝐺𝐷 + 𝑉1 Onde: Vbase = valor-base; V2 = valor máximo em função da classificação da infração; V1 = valor mínimo em função da classificação da infração; e GD = grau do dano causado pela infração. Tabela 3 – Valores mínimo e máximo para definição do valor base de multa para pessoas físicas e pessoas jurídicas de direito privado sem faturamento Classificação Valor (em R$) V1 V2 Leve 1.500,00 (mil e quinhentos reais 3.500,00 (três mil e quinhentos reais) Média 3.000,00 (três mil reais) 7.000,00 (sete mil reais) Grave 6.750,00 (seis mil setecentos e cinquenta reais) 15.750,00 (quinze mil setecentos e cinquenta reais) Etapa 3 4.3 Determinação do valor da multa (Vmulta) Sobre o valor-base da multa aplicam-se as circunstâncias agravantes e atenuantes, conforme previsto no Regulamento de Dosimetria e Aplicação de Sanções Administrativas. 𝑉𝑚𝑢𝑙𝑡𝑎 = [𝑉𝑏𝑎𝑠𝑒 × (1 + 𝐴𝑔𝑟𝑎𝑣𝑎𝑛𝑡𝑒𝑠)] × (1 − 𝐴𝑡𝑒𝑛𝑢𝑎𝑛𝑡𝑒𝑠) Onde: Vmulta = valor da multa; Vbase = valor-base da multa; 𝐴𝑔𝑟𝑎𝑣𝑎𝑛𝑡𝑒𝑠 = soma dos percentuais, na forma decimal, das circunstâncias agravantes; e 𝐴𝑡𝑒𝑛𝑢𝑎𝑛𝑡𝑒𝑠 = soma dos percentuais, na forma decimal, das circunstâncias atenuantes. Etapa 4 4.4 Adequação aos limites mínimo e máximo da multa (Vfinal) Para os casos em que a vantagem auferida seja estimável, verifica-se se o valor da multa resultante é ao menos o valor do dobro da vantagem auferida, nos termos do art. 13, parágrafo único, I, do Regulamento de Dosimetria e Aplicação de Sanções Administrativas. Caso o valor da multa seja menor, realiza-se a sua adequação para que o valor final da multa seja o dobro do valor da vantagem auferida. Por fim, adequa-se, quando necessário, o montante da multa aos valores mínimos de multa a serem aplicados previstos no Apêndice II e ao limite máximo de 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração, de modo que: 𝑉𝑓𝑖𝑛𝑎𝑙 = { 𝑉𝑚𝑢𝑙𝑡𝑎 , 𝑠𝑒 𝑉𝑚𝑖𝑛 ≤ 𝑉𝑚𝑢𝑙𝑡𝑎 ≤ 𝑉𝑚𝑎𝑥 𝑉𝑚𝑖𝑛 , 𝑠𝑒 𝑉𝑚𝑢𝑙𝑡𝑎 < 𝑉𝑚𝑖𝑛 𝑉𝑚𝑎𝑥 , 𝑠𝑒 𝑉𝑚𝑢𝑙𝑡𝑎 > 𝑉𝑚𝑎𝑥 Onde: 𝑉𝑚𝑖𝑛 = valor mínimo de multa a ser considerada conforme Apêndice II ou o dobro da vantagem auferida, o que for maior; 𝑉𝑚𝑎𝑥 = valor máximo de multa a ser considerado, respeitando-se o limite máximo de 2% (dois por cento) do faturamento bruto da pessoa jurídica ou R$ 50.000.000,00 (cinquenta milhões de reais), o que for menor; e 𝑉𝑓𝑖𝑛𝑎𝑙 = valor final de multa a ser aplicada. Assim, o valor final da multa, por infração, terá como limite mínimo, o maior valor entre: a) o dobro da vantagem auferida, quando estimável; e b) o mínimo previsto no Apêndice II. Por sua vez, o limite máximo será o menor valor entre: a) R$ 50.000.000,00 (cinquenta milhões de reais); e b) 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos. APÊNDICE II AO REGULAMENTO DE DOSIMETRIA E APLICAÇÃO DE SANÇÕES ADMINISTRATIVAS Valores mínimos a serem observados para adequação da sanção de multa simples, conforme descrito no Apêndice I. Tabela 1 – Valores mínimos de multa simples para pessoas físicas ou pessoas jurídicas de direito privado sem faturamento GRADAÇÃO VALOR (em R$) Leve 1.000,00 (mil reais) Média 2.000,00 (dois mil reais) Grave 4.000,00 (quatro mil reais) Tabela 2 – Valores mínimos de multa simples para as pessoas jurídicas de direito privado não enquadradas na Tabela 1 GRADAÇÃO VALOR (em R$) Leve 3.000,00 (três mil reais) Média 6.000,00 (seis mil reais) Grave 12.000,00 (doze mil reais)