Regulamento de Dosimetria da ANPD: Aplicação de Sanções

O Regulamento de Dosimetria da ANPD estabelece critérios objetivos para a aplicação de sanções por violações à LGPD, trazendo maior previsibilidade jurídica para empresas e organizações que tratam dados pessoais.

O que é o Regulamento de Dosimetria e por que ele importa

Quando a Lei Geral de Proteção de Dados (Lei nº 13.709/2018) entrou em vigor, uma das maiores preocupações do mercado dizia respeito à forma como as sanções administrativas seriam efetivamente aplicadas. A LGPD prevê penalidades que vão desde advertências até multas de até 2% do faturamento da pessoa jurídica, limitadas a R$ 50 milhões por infração, mas não detalha os critérios que a Autoridade Nacional de Proteção de Dados (ANPD) deveria utilizar para calcular essas penalidades. Foi justamente para preencher essa lacuna que a ANPD editou o Regulamento de Dosimetria e Aplicação de Sanções Administrativas, aprovado pela Resolução CD/ANPD nº 4, de 24 de fevereiro de 2023.

Analisamos que esse regulamento representa um marco na governança de dados no Brasil, pois confere transparência e previsibilidade ao processo sancionador. Antes da sua edição, existia significativa insegurança jurídica sobre como a autoridade mensuraria a gravidade das infrações e, consequentemente, sobre o valor das multas. Agora, com parâmetros claros e metodologia definida, as organizações podem avaliar com maior precisão os riscos associados ao descumprimento da legislação de proteção de dados e, com isso, tomar decisões mais informadas sobre seus programas de conformidade.

Verificamos que o regulamento não se limita a estabelecer faixas de valores para multas. Ele cria um verdadeiro sistema de classificação de infrações, define circunstâncias agravantes e atenuantes, estabelece critérios para a escolha do tipo de sanção e disciplina o processo administrativo sancionador em seus aspectos materiais. Essa abordagem sistêmica é fundamental para que a atuação fiscalizatória da ANPD seja percebida como legítima e proporcional pelo mercado.

Classificação das infrações e critérios de dosimetria

O Regulamento de Dosimetria classifica as infrações à LGPD em três categorias: leves, médias e graves. Essa classificação é determinante para a definição da sanção aplicável e para o cálculo do valor da multa, quando for o caso. Infrações leves são aquelas que não envolvem dados sensíveis, não afetam interesses de titulares de forma significativa e decorrem de falhas pontuais nos processos de tratamento. Infrações médias envolvem situações de maior impacto, como o descumprimento de obrigações legais específicas ou a ausência de medidas de segurança razoáveis. Já as infrações graves compreendem violações que envolvem tratamento irregular de dados sensíveis, afetam um grande número de titulares, revelam práticas sistemáticas de descumprimento ou configuram obstrução à atividade fiscalizatória da ANPD.

Para a dosimetria propriamente dita, o regulamento estabelece uma série de parâmetros que devem ser considerados pela autoridade. Entre os principais, destacamos: a gravidade e a natureza das infrações e dos direitos pessoais afetados; a boa-fé do infrator; a vantagem auferida ou pretendida; a condição econômica do infrator; a reincidência; o grau do dano causado; a cooperação do infrator com a ANPD; a adoção de mecanismos e procedimentos internos capazes de minimizar o dano; a adoção de política de boas práticas e governança; a pronta adoção de medidas corretivas; e a proporcionalidade entre a gravidade da falta e a intensidade da sanção.

Observamos que esses parâmetros não são analisados isoladamente. A ANPD deve realizar uma avaliação conjunta, ponderando cada critério conforme as circunstâncias do caso concreto. Isso significa que dois agentes de tratamento que cometam a mesma infração podem receber sanções diferentes, a depender de fatores como o porte da organização, a existência de um programa de governança em dados pessoais, o comportamento colaborativo durante o processo administrativo e a extensão dos danos causados aos titulares.

Circunstâncias agravantes e atenuantes

O regulamento também detalha as circunstâncias que podem agravar ou atenuar a sanção. Entre as agravantes, verificamos a continuidade da prática infrativa após a ciência da irregularidade, a obstrução da atividade fiscalizatória, a ausência de medidas para cessar ou reverter os efeitos da infração e a reincidência específica (prática da mesma infração em período inferior a cinco anos). Entre as atenuantes, destacamos a cessação voluntária da prática infrativa antes da instauração do processo administrativo, a comunicação espontânea do incidente à ANPD e aos titulares, a colaboração efetiva com a investigação e a implementação de medidas corretivas antes da decisão administrativa.

Essa sistemática de agravantes e atenuantes é particularmente relevante para a due diligence em proteção de dados. Organizações que investem em programas robustos de governança, que mantêm canais de comunicação abertos com a ANPD e que demonstram capacidade de resposta rápida a incidentes tendem a se beneficiar de sanções mais brandas quando eventualmente se envolvem em processos administrativos.

A adoção prévia de um programa consistente de governança em proteção de dados não apenas reduz o risco de infrações, mas funciona como atenuante relevante na dosimetria das sanções aplicadas pela ANPD.

As sanções previstas e a metodologia de cálculo das multas

A LGPD prevê um rol de sanções administrativas que podem ser aplicadas pela ANPD: advertência, multa simples, multa diária, publicização da infração, bloqueio dos dados pessoais, eliminação dos dados pessoais, suspensão parcial do funcionamento do banco de dados, suspensão do exercício da atividade de tratamento e proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados. O Regulamento de Dosimetria disciplina a forma como a autoridade deve escolher entre essas sanções e, no caso das multas, como deve calcular o valor.

Analisamos que o regulamento estabelece uma lógica de gradação na escolha da sanção. A advertência é a medida mais branda e deve ser acompanhada de prazo para adoção de medidas corretivas. As multas (simples e diária) são sanções de natureza pecuniária que exigem fundamentação específica quanto ao valor aplicado. A publicização da infração tem caráter informativo e pedagógico, visando alertar a sociedade sobre práticas irregulares. As sanções mais severas (bloqueio, eliminação, suspensão e proibição) são reservadas para situações de extrema gravidade ou reincidência, pois impactam diretamente a operação do agente de tratamento.

Quanto à metodologia de cálculo das multas, o regulamento prevê que a ANPD deve considerar o faturamento bruto do grupo econômico no Brasil no último exercício disponível, excluídos os tributos. Para micro e pequenas empresas, o regulamento prevê tratamento diferenciado, com possibilidade de redução das multas, conforme disposto na Resolução CD/ANPD nº 2, de 27 de janeiro de 2022, que regulamenta a aplicação da LGPD para agentes de tratamento de pequeno porte. Essa diferenciação é importante porque reconhece a heterogeneidade do mercado brasileiro e evita que sanções desproporcionais inviabilizem a operação de negócios menores.

Multa diária e seus limites

A multa diária é um instrumento particularmente relevante no contexto da dosimetria. Ela é aplicada quando o infrator descumpre obrigação imposta pela ANPD dentro do prazo estipulado. O regulamento estabelece que o valor da multa diária deve ser suficiente para compelir o infrator ao cumprimento da obrigação, mas não pode ser desproporcional em relação à sanção de multa simples correspondente à infração. Verificamos que essa previsão busca equilibrar a efetividade da medida coercitiva com o princípio da proporcionalidade, evitando que multas diárias se acumulem de forma a ultrapassar limites razoáveis.

Impactos práticos na due diligence de dados pessoais

O Regulamento de Dosimetria tem implicações diretas nos processos de due diligence envolvendo dados pessoais, especialmente em operações de fusões e aquisições, reestruturações societárias e contratação de fornecedores que atuam como operadores de dados. Analisamos que, com parâmetros claros de sancionamento, os profissionais responsáveis pela avaliação de riscos passam a contar com elementos mais objetivos para precificar contingências relacionadas à proteção de dados.

Em processos de due diligence societária, a existência de procedimentos administrativos em curso na ANPD ou o histórico de sanções aplicadas passam a ser informações essenciais para a avaliação do passivo regulatório da empresa-alvo. Verificamos que a análise deve incluir não apenas infrações já sancionadas, mas também a adequação geral do programa de proteção de dados da organização, pois deficiências estruturais representam riscos de sanções futuras cujo valor agora pode ser estimado com maior precisão.

Para fornecedores e parceiros comerciais que atuam como operadores de dados, o regulamento reforça a importância de cláusulas contratuais robustas que definam responsabilidades claras em relação ao tratamento de dados pessoais. A solidariedade nas infrações, prevista na LGPD, combinada com os parâmetros de dosimetria, torna imprescindível que o controlador realize avaliações periódicas dos seus operadores, verificando a adequação de suas práticas de segurança e governança.

Observamos ainda que o regulamento impacta diretamente a forma como as organizações devem estruturar seus programas de resposta a incidentes. A comunicação tempestiva de incidentes de segurança à ANPD e aos titulares afetados é expressamente considerada como circunstância atenuante. Isso significa que empresas que investem em processos ágeis de detecção, contenção e comunicação de incidentes não apenas protegem melhor os dados dos titulares, mas também reduzem a exposição a sanções mais severas.

Boas práticas para mitigar riscos sancionatórios

Diante do arcabouço normativo consolidado pelo Regulamento de Dosimetria, analisamos que determinadas práticas se mostram especialmente eficazes para mitigar os riscos de sanções administrativas. A primeira e mais fundamental é a implementação de um programa de governança em proteção de dados que seja genuíno, documentado e efetivo. Programas meramente formais, que existem apenas no papel, não são reconhecidos como atenuantes pela ANPD.

Verificamos que a nomeação de um encarregado (DPO) qualificado, com autonomia e recursos adequados para o exercício de suas funções, é outro fator relevante. O encarregado atua como elo entre a organização, os titulares e a ANPD, e sua atuação diligente pode ser determinante tanto na prevenção de infrações quanto na condução adequada de processos administrativos.

A realização de relatórios de impacto à proteção de dados (RIPD) para atividades de tratamento que apresentem riscos elevados é igualmente recomendada. Esses relatórios demonstram que a organização avaliou previamente os riscos e adotou medidas para mitigá-los, o que pode ser considerado atenuante em eventual processo sancionador. A manutenção de registros atualizados das operações de tratamento, conforme exigido pela LGPD, também contribui para demonstrar a boa-fé e o compromisso da organização com a conformidade.

Por fim, destacamos a importância de treinamentos regulares para colaboradores, da implementação de medidas técnicas e organizacionais de segurança adequadas ao risco e do estabelecimento de procedimentos claros para o atendimento dos direitos dos titulares. Essas práticas, quando adotadas de forma consistente e documentada, constituem um escudo relevante contra sanções mais gravosas e demonstram à ANPD que a organização trata a proteção de dados como uma prioridade real.

As informações deste artigo são de caráter informativo e não substituem consulta jurídica individualizada.

As informações deste artigo são de caráter informativo e não substituem consulta jurídica individualizada.