Governo

ANPD tira dúvidas sobre multas, que começam a valer sem regras de PMEs

A partir de 1º de agosto entram em vigor os dispositivos legais que permitem à Autoridade Nacional de Proteção de Dados aplicar multas e demais sanções administrativas aos agentes de tratamento de dados que infringirem normas da Lei Geral de Proteção de Dados (13.709/18). Especialistas recomendam que as empresas se adequem para evitar problemas, mas a própria ANPD tenta evitar um pânico com multas. 

“Não esperem a ANPD bater na sua porta com um caderno de multas”, afirmou o presidente da ANPD, Waldemar Gonçalves, ao participar de debate promovido pela Brasscom na quinta, 29/7. “Nossa ideia sempre é consultar as empresas ao recebermos qualquer notificação, buscarmos todas as informações, conversarmos, para, a partir daí, começarmos uma atuação”, disse.

Para reforçar esse posicionamento, a ANPD publicou um tira dúvidas em seu portal na internet. “Prevê-se que a atuação da ANPD se dê conforme uma abordagem responsiva, ou seja, de maneira gradual, baseada no comportamento do regulado e alicerçada em um plano de monitoramento do setor que permita a priorização de temas segundo seu risco, gravidade, atualidade e relevância”, diz a Autoridade. 

“Assim, a proposta de regulamento prevê etapas de monitoramento, orientação, prevenção e repressão de infrações, levando em consideração as informações recebidas a partir de reclamações, denúncias, representações e notificações de incidentes para estabelecer prioridades a serem incluídas na agenda de fiscalização.”

A LGPD começou a valer em agosto de 2020, a ANPD foi criada no final do mesmo ano e agora começam a valer os artigos relacionados às sanções. E vale lembrar que as sanções previstas na LGPD são aplicáveis a fatos ocorridos após 1º de agosto de 2021 ou para delitos de natureza continuada iniciados antes de tal data.


A ANPD prometeu que chegaria ao 1º de agosto com outras regras divulgadas, sendo uma das mais esperadas o tratamento específico para pequenas e médias empresas, startups e pequenos empreendedores. Também ainda está tramitando uma proposta do próprio regulamento de fiscalização e sanções. 

Como regra geral, porém, praticamente todos os negócios precisam se adaptar. “Quase toda organização lida com dados pessoais, nem que sejam os dados dos empregados, e as atuais práticas precisam passar por uma avaliação. Se questionadas, as empresas precisam ter condições de provar que possuem um programa de conformidade adequado às suas atividades, baseado em políticas e regras de boas práticas”, aponta o especialista em LGPD do escritório Peixoto & Cury Advogados, Renato Valença. 

Afinal, ainda que a ANPD venha repetindo que não será criada uma indústria de multas, as sanções previstas na LGPD podem ser salgadas. “As multas podem chegar a R$50 milhões, dependendo da gravidade do ocorrido. As empresas já deveriam estar adequadas, uma vez que em caso de vazamento de dados de usuários, podem responder pelos danos que causarem”, ressalta a advogada Flávia Bortolini, especialista em Direito Digital e proteção de dados e associada do Damiani Sociedade de Advogados.

O tira dúvidas da ANPD é o seguinte: 

1) Quando as sanções previstas na LGPD entram em vigor?

Os artigos 52, 53 e 54 da LGPD, referentes às sanções administrativas, têm sua entrada em vigor em 1o de agosto de 2021. 

2) Quais sanções podem ser aplicadas pela ANPD?

A LGPD previu um rol variado de sanções administrativas, de natureza admoestativa, pecuniária e restritiva de atividades.  Conforme o art. 52 da LGPD, a ANPD pode aplicar as seguintes sanções administrativas:

    advertência, com indicação de prazo para adoção de medidas corretivas;

    multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;

    multa diária, observado o limite total a que se refere o inciso II;

    publicização da infração após devidamente apurada e confirmada a sua ocorrência;

    bloqueio dos dados pessoais a que se refere a infração até a sua regularização;

    eliminação dos dados pessoais a que se refere a infração;

    suspensão parcial do funcionamento do banco de dados a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador;  

    suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração pelo período máximo de 6 (seis) meses, prorrogável por igual período;  

    proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados.   

3) Outros órgãos públicos podem aplicar essas sanções?

Conforme dispõe o caput do artigo 52 da LGPD, as sanções administrativas previstas pela LGPD são passíveis de aplicação somente pela ANPD. Além disso, a Lei estabelece que as competências da ANPD prevalecerão, no que se refere à proteção de dados pessoais, sobre as competências correlatas de outras entidades ou órgãos da administração pública.

Vale lembrar, entretanto, que, nos termos da Lei, a aplicação das sanções previstas na LGPD não substitui a aplicação de sanções administrativas, civis ou penais definidas na Lei nº 8.078, de 11 de setembro de 1990 (Código de Defesa do Consumidor) e em legislação específica. Assim, eventual atuação de outros órgãos públicos, como agências reguladoras ou órgãos de defesa do consumidor, deve se dar segundo as suas próprias competências, ao abrigo de suas legislações específicas.

4) Como a Autoridade vem se estruturando para aplicar sanções?

A LGPD determina que a ANPD deverá editar regulamento próprio sobre sanções administrativas, que deverá ser objeto de consulta pública, contendo as metodologias que orientarão o cálculo do valor-base das sanções de multa. As metodologias para as sanções pecuniárias devem ser previamente publicadas e devem apresentar objetivamente as formas e dosimetrias para o cálculo do valor-base das sanções de multa, que deverão conter fundamentação detalhada de todos os seus elementos, demonstrando a observância dos critérios previstos na LGPD.

Nos termos da Lei, a aplicação de sanções requer, ainda, criteriosa apreciação e ponderação de diversas circunstâncias, dentre as quais a gravidade e a natureza das infrações e dos direitos pessoais afetados, a condição econômica do infrator, o grau do dano, a cooperação do infrator, a adoção de política de boas práticas e governança e a pronta adoção de medidas corretivas.

Tendo em vista tais parâmetros, e em conformidade com sua Agenda Regulatória, a ANPD encontra-se em fase de conclusão da elaboração do Regulamento de Fiscalização e Aplicação de Sanções Administrativas, que passou por Consulta Pública entre 28 de maio e 28 de junho de 2021.

A minuta de resolução, ainda sujeita a ajustes em razão das contribuições recebidas, pode ser consultada em: https://www.gov.br/anpd/pt-br/assuntos/noticias/anpd-abre-consulta-publica-sobre-norma-de-fiscalizacao/2021.05.29___Minuta_de_Resolucao_de_fiscalizacao_para_consultapblica.pdf

Além do Regulamento de Fiscalização e Aplicação de Sanções Administrativas, a ANPD ainda submeterá à consulta pública norma específica para tratar das sanções e dosimetria.

5) Há um cronograma para a aprovação do regulamento e a efetiva aplicação de penalidades?

A minuta de Regulamento de Fiscalização e Aplicação de Sanções Administrativas encontra-se em fase final de análise e deve, nas próximas semanas, ser remetida ao Conselho Diretor da ANPD para deliberação. Em paralelo, encontram-se também em estudo as metodologias que orientarão o cálculo do valor-base das sanções de multa.

A aplicação de penalidades, por sua vez, deve ser precedida de procedimento administrativo que possibilite a oportunidade de ampla defesa e de recursos administrativos, em consonância com a Lei nº 9.784, de 29 de janeiro de 1999, a legislação especial e os demais regulamentos pertinentes da ANPD.

6) Qual abordagem terá a ANPD quanto a eventuais infrações cometidas?

Segundo a proposta de regulamento submetida à Consulta Pública, ainda sujeita a alterações em razão das contribuições recebidas, prevê-se que a atuação da ANPD se dê conforme uma abordagem responsiva, ou seja, de maneira gradual, baseada no comportamento do regulado e alicerçada em um plano de monitoramento do setor que permita a priorização de temas segundo seu risco, gravidade, atualidade e relevância.

Assim, a proposta de regulamento prevê etapas de monitoramento, orientação, prevenção e repressão de infrações, levando em consideração as informações recebidas a partir de reclamações, denúncias, representações e notificações de incidentes para estabelecer prioridades a serem incluídas na agenda de fiscalização.

7) A ANPD pretende se articular com outros órgãos públicos para fins de fiscalização?

A LGPD prevê que a ANPD articulará sua atuação com outros órgãos e entidades com competências sancionatórias e normativas afetas ao tema de proteção de dados pessoais e será o órgão central de interpretação da Lei e do estabelecimento de normas e diretrizes para a sua implementação.    

Assim, a ANPD já possui acordos de cooperação técnica firmados com a Secretaria Nacional do Consumidor – SENACON e com o Conselho Administrativo de Defesa Econômica – CADE que permitem o desenvolvimento de atividades conjuntas em temas que gerem repercussões nas áreas de atuação dos órgãos envolvidos. Já há, inclusive, casos concretos sob análise da Autoridade que envolvem a atuação cooperativa com esses órgãos e com o Ministério Público.

A ANPD espera continuar ampliando as relações de parceria com outros órgãos públicos, com vistas a imprimir maior efetividade à sua atuação, em defesa dos direitos dos titulares de dados.

8) Como serão penalizados os órgãos públicos?

Os órgãos e as entidades públicas poderão ser punidos com todas as sanções administrativas previstas na LGPD, salvo as sanções pecuniárias. Ademais, a LGPD prevê a possibilidade de responsabilização de agentes públicos, nos termos previstos na Lei nº 8.112, de 11 de dezembro de 1990 (Estatuto do Servidor Público), na Lei nº 8.429, de 2 de junho de 1992 (Lei da Improbidade Administrativa) e na Lei nº 12.527, de 18 de novembro de 2011 (Lei de Acesso à Informação).

9) A ANPD pode aplicar sanções relativas a fatos ocorridos antes de 1º de agosto de 2021? 

As sanções previstas na LGPD são aplicáveis a fatos ocorridos após 1º de agosto de 2021 ou para delitos de natureza continuada iniciados antes de tal data.

10) A ANPD pode aplicar sanções relativas a fatos ocorridos após 1º de agosto de 2021, mas antes da entrada em vigor do Regulamento de Fiscalização e Aplicação de Sanções Administrativas?

De modo a conferir segurança jurídica aos administrados, a ANPD iniciará sua atuação sancionadora após a aprovação do Regulamento de Fiscalização e de Aplicação de Sanções Administrativas, que estabelece as etapas do processo administrativo sancionador e os direitos dos administrados. A atuação da Autoridade pode se dar com relação a fatos ocorridos após 1º de agosto de 2021 ou para delitos de natureza continuada iniciados antes de tal data.

11) Haverá algum canal para comunicar à ANPD eventuais infrações relacionadas com a LGPD?

Já existe um canal apropriado para comunicação de infrações relacionadas ao descumprimento da LGPD. As instruções completas podem ser consultadas por meio do link: https://www.gov.br/anpd/pt-br/canais_atendimento/cidadao-titular-de-dados/reclamacao-do-titular-contra-controlador-de-dados.

12) Em quais situações a ANPD pode aplicar essas sanções? Somente se houver vazamento de dados pessoais? Ou há outras possibilidades?

O descumprimento das obrigações previstas na LGPD é passível de sanção pela ANPD. Existem obrigações para além daquelas relacionadas ao vazamento de dados pessoais.

13) Como serão calculadas as multas?

O cálculo das multas considerará os parâmetros estabelecidos pela LGPD (art. 52). A metodologia para o cálculo ainda será submetida à consulta pública.

14) A ANPD já tem equipe formada para monitorar o cumprimento da LGPD, receber denúncias e aplicar as sanções?

De acordo com o Regimento Interno da ANPD, aprovado pela Portaria nº 1, de 8 de março de 2021, a Coordenação-Geral de Fiscalização é a unidade responsável por essa atividade. Os cargos previstos para realização dessa atividade pelo Decreto nº 10.474, de 26 de agosto de 2020, encontram-se devidamente preenchidos.                                                                    

15) Os processos administrativos da ANPD podem ser consultados publicamente? Onde?

O acesso aos processos administrativos em andamento na ANPD segue as regras da Lei de Acesso à Informação e os pedidos de acesso podem ser apresentados por meio da plataforma Fala.BR.

* Com informações da ANPD, Brasscom e Original123

Botão Voltar ao topo