Você está visualizando atualmente Aprovado regulamento para aplicação de sanções administrativas da LGPD

Aprovado regulamento para aplicação de sanções administrativas da LGPD

Foi aprovado em 27 de fevereiro de 2023,  o Regulamento para aplicação de sanções administrativas da LGPD.

Resolução nº 4 traz a definição de infração leve, média e grave e mostra como calcular a multa por violação à legislação — que pode chegar a R$ 50 milhões.

A infração será considerada média se afetar direitos fundamentais dos titulares de dados pessoais ou impedir a utilização de um serviço, assim como ocasionar danos materiais ou morais aos titulares, como fraudes financeiras e discriminação.

Será grave se, além disso, também envolver tratamento de dados pessoais em larga escala; se o infrator tiver ou pretender ter vantagem econômica; se implicar risco à vida dos titulares; se envolver dados pessoais de crianças, de adolescentes ou de idosos; e se impedir fiscalização.

A infração será considerada leve quando não verificada nenhuma das hipóteses que a caracterizam como média ou grave.

Aplicação de advertência

A norma traz as sanções para as infrações. Prevê a aplicação de mera advertência, suspensão da atividade de tratamento de dados ou tornar pública a sanção, por exemplo. A advertência vale quando a infração for leve ou média e não caracterizar reincidência ou houver necessidade de imposição de medidas corretivas.

Além da não reincidência, também podem ser atenuantes de qualquer uma das penas: a boa-fé do infrator; a vantagem auferida ou pretendida pelo infrator; e a condição econômica dele.

Poderá ser determinado também o bloqueio ou eliminação dos dados pessoais a que se refere a infração, até a sua regularização. A ANPD ainda poderá estabelecer a suspensão parcial ou total do funcionamento do banco de dados do infrator.

Cálculo de multa

A multas previstas na norma podem ser simples ou diária. Ambas podem chegar a R$ 50 milhões. A diária será aplicada para assegurar o cumprimento, em prazo certo, de uma determinaçã da ANPD.

Será aplicada a multa simples caso o infrator não tenha atendido as medidas preventivas ou corretivas a ele impostas, nos prazos estabelecidos, no caso de infração grave. Também se, pela atividade de tratamento ou dos dados pessoais tratados, não for adequado aplicar outra sanção.

Para a definição do valor, além da classificação da infração, a ANPD levará em conta o faturamento do infrator no último exercício disponível anterior à aplicação da sanção e o grau do dano.

Será considerado faturamento a receita bruta do artigo 12 do Decreto-Lei nº 1.598, de 1977, excluídas as devoluções e vendas canceladas, bem como os descontos concedidos incondicionalmente. Para empresas no Simples Nacional, a receita bruta do parágrafo 1º do artigo 3º da Lei Complementar nº 123, de 2006. Para pessoas jurídicas de direito privado sem fins lucrativos, o montante total de recursos auferidos, excluídos os tributos sobre vendas.

Para definir o valor da multa, a ANPD também poderá considerar: o limite de faturamento previsto na Lei do Simples Nacional para micro e pequenas empresas; o limite de faturamento previsto na Lei Complementar nº 182, de 2021, no caso de startups; e o faturamento total do grupo ou conglomerado de empresas no Brasil, caso não disponível a informação referente ao ramo de atividade em que ocorreu a infração.

Também poderá ser considerado o somatório dos rendimentos recebidos por atividades de tratamento de dados pessoais, direta ou indiretamente.

Nos demais casos, o limite de faturamento será correspondente ao valor máximo de multa de R$ 50 milhões.

Sanções administrativas da LGPD

Desse modo, a partir de agora, poderão ser aplicadas todas as sanções previstas na LGPD:

  • Advertência;
  • Multa simples, de até 2% do faturamento da empresa, limitada, no total, a R$ 50.000.000,00 por infração;
  • Multa diária, com limite total de R$ 50.000.000,00;
  • Publicização da infração;
  • Bloqueio dos dados pessoais;
  • Eliminação dos dados pessoais;
  • Suspensão parcial do funcionamento do banco de dados por no máximo de seis meses, prorrogável por igual período, até que se regularize a situação;
  • Suspensão do exercício da atividade de tratamento dos dados pessoais por no máximo de seis meses, prorrogável por igual período;
  • Proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.

Vale destacar que as disposições constantes no regulamento se aplicam também aos processos administrativos já em curso quando de sua entrada em vigor.

O regulamento foi publicado no Diário Oficial da União e pode ser acessado aqui.