O CONSELHO DIRETOR DA AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS, no uso das atribuições que lhe foram conferidas pelo art. 55-J, IV, e § 2º da Lei nº 13.709, de 14 de agosto de 2018, Lei Geral de Proteção de Dados Pessoais (LGPD), pelo art. 2º, IV, e art. 29 do Anexo I do Decreto nº 10.474, de 26 de agosto de 2020, e previstas no Regimento Interno da Autoridade Nacional de Proteção de Dados, aprovado pela Portaria nº 1, de 8 de março de 2021,

CONSIDERANDO o que consta nos autos do Processo nº 00261.000358/2021-02; e

CONSIDERANDO a deliberação tomada no Circuito Deliberativo nº 02/2023, resolve:

Art. 1º Aprovar o Regulamento de Dosimetria e Aplicação de Sanções Administrativas, na forma do Anexo a esta Resolução.

Art. 2º O Regulamento do Processo de Fiscalização e do Processo Administrativo Sancionador no âmbito da Autoridade Nacional de Proteção de Dados, aprovado pela Resolução CD/ANPD nº 1, de 28 de outubro de 2021, publicada no Diário Oficial da União de 29 de outubro de 2021, passa a vigorar com as seguintes alterações:

"Art. 32........................................................................................................

§ 1º Poderão ser adotadas outras medidas não previstas neste artigo, se compatíveis com o disposto nos arts. 30 e 31.

§ 2º O não atendimento de medida preventiva:

I - enseja a progressão de atuação da ANPD para que, a seu critério, adote outras medidas preventivas ou atue de modo repressivo, com a adoção de medidas compatíveis; e

II - será considerado circunstância agravante em caso de instauração de processo administrativo sancionador.

§ 3º As medidas dispostas neste Capítulo IV não se confundem com as medidas preventivas a que se refere o art. 26, inciso IV do Anexo I do Decreto nº 10.474, de 2020." (NR)

"Art. 55..................................................................................................................

§ 1º A decisão será motivada, com indicação dos fatos e dos fundamentos jurídicos, bem como aplicará a respectiva sanção, quando cabível, seguindo os parâmetros e critérios definidos no § 1º do art. 52 da LGPD e na regulamentação expedida pela ANPD.

§ 2º Nos casos em que for imposta ao infrator a adoção de medidas, na forma de obrigação de fazer ou de não fazer, a decisão também deverá conter, quando aplicável:

I - o prazo para execução e as condições de aferição pela ANPD, ou de demonstração pelo infrator, do cumprimento das medidas impostas; e

II - o valor da multa simples ou da multa diária com a indicação do prazo para pagamento." (NR)

"Art. 62..................................................................................................................

§ 3º Mantida ou reconsiderada parcialmente a decisão, a Coordenação-Geral de Fiscalização remeterá o processo ao Conselho Diretor para prosseguimento, acompanhado de análise dos pressupostos gerais de admissibilidade recursal, da concessão do efeito suspensivo e do mérito do pedido, além de outras informações que entender pertinentes.

..................................................................................................................... (NR)"

Art. 3º Ficam revogados os seguintes dispositivos do Regulamento do Processo de Fiscalização e do Processo Administrativo Sancionador no âmbito da Autoridade Nacional de Proteção de Dados, aprovado pela Resolução CD/ANPD nº 1, de 28 de outubro de 2021, publicada no Diário Oficial da União de 29 de outubro de 2021:

I - § 4º do art. 35; e

II - § 3º do art. 36.

Art. 4º Esta Resolução entra em vigor na data de sua publicação.

WALDEMAR GONÇALVES ORTUNHO JUNIOR

Diretor-Presidente

ANEXO REGULAMENTO DE DOSIMETRIA E APLICAÇÃO DE SANÇÕES ADMINISTRATIVAS

CAPÍTULO I DISPOSIÇÕES GERAIS

Art. 1º Este Regulamento tem por objetivo estabelecer parâmetros e critérios para aplicação de sanções administrativas pela Autoridade Nacional de Proteção de Dados (ANPD), bem como as formas e dosimetrias para o cálculo do valor-base das sanções de multa.

Art. 2º Para fins deste Regulamento adotam-se as seguintes definições:

I - grupo ou conglomerado de empresas: conjunto de empresas de fato ou de direito com personalidades jurídicas próprias, sob direção, controle ou administração de uma pessoa natural ou jurídica ou ainda grupo de pessoas que detêm, isolada ou conjuntamente, poder de controle sobre as demais, desde que demonstrado interesse integrado, efetiva comunhão de interesses e atuação conjunta das empresas dele integrantes;

II - infração: descumprimento de obrigação estabelecida na Lei nº 13.709, de 14 de agosto de 2018 (LGPD), e nos regulamentos expedidos pela ANPD;

III - infração permanente: conduta infrativa que se prolonga no tempo, mediante ação ou omissão do infrator referente ao mesmo dispositivo normativo;

IV - infrator: agente de tratamento que comete infração;

V - medidas corretivas: medidas determinadas pela ANPD com a finalidade de corrigir a infração e reconduzir o infrator à plena conformidade à LGPD e aos regulamentos expedidos pela ANPD, devendo ser aplicadas conjuntamente com a sanção de advertência, nos termos deste Regulamento;

VI - política de boas práticas e de governança: normas e processos internos que assegurem o cumprimento abrangente da legislação de proteção de dados pessoais, estabelecidos e implementados pelo agente de tratamento mediante a adoção de:

a) regras de boas práticas e de governança, nos termos do art. 50, caput e § 1º, da LGPD; ou

b) programa de governança em privacidade, nos termos do § 2º do art. 50 da LGPD;

VII - ramo de atividade empresarial: área de atuação de empresa, grupo ou conglomerado de empresas, conforme definido pela ANPD e verificado no caso concreto, podendo ser comprovada mediante objeto social, código de Classificação Nacional de Atividades Econômicas (CNAE), código de serviço diretamente relacionado, ou instrumentos congêneres;

VIII - reincidência específica: repetição de infração pelo mesmo infrator ao mesmo dispositivo legal ou regulamentar, no período de 5 (cinco) anos, contado do trânsito em julgado do processo administrativo sancionador, até a data do cometimento da nova infração;

IX - reincidência genérica: cometimento de infração pelo mesmo infrator, independentemente do dispositivo legal ou regulamentar, no período de 5 (cinco) anos, contado do trânsito em julgado do processo administrativo sancionador até a data do cometimento da nova infração, excluído o disposto no inciso VIII do caput; e

X - trânsito em julgado: atributo de decisão definitiva proferida em processo administrativo sancionador, no âmbito da ANPD, tornando-a imutável e indiscutível dentro do processo em que foi proferida.

CAPÍTULO II DA APLICAÇÃO DAS SANÇÕES

Seção I Das Sanções Administrativas

Art. 3º As infrações sujeitarão o infrator às seguintes sanções administrativas:

I - advertência, nos termos do art. 9º deste Regulamento;

II - multa simples, nos termos dos arts. 10 a 15 deste Regulamento;

III - multa diária, nos termos do art. 16 deste Regulamento;

IV - publicização da infração, após devidamente apurada e confirmada a sua ocorrência, nos termos dos arts. 20 e 21 deste Regulamento;

V - bloqueio dos dados pessoais a que se refere a infração, até a sua regularização, nos termos do art. 22 deste Regulamento;

VI - eliminação dos dados pessoais a que se refere a infração, nos termos do art. 23 deste Regulamento;

VII - suspensão parcial do funcionamento do banco de dados a que se refere a infração, nos termos do art. 24 deste Regulamento;

VIII - suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração, nos termos do art. 25 deste Regulamento; e

IX - proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados, nos termos do art. 26 deste Regulamento.

§ 1º As sanções previstas nos incisos VII, VIII e IX do caput deste artigo somente serão aplicadas após já ter sido imposta ao menos uma das sanções de que tratam os incisos II, III, IV, V e VI do caput deste artigo para o mesmo caso concreto.

§ 2º Na hipótese do § 1º deste artigo, a ANPD dará ciência ao principal órgão ou entidade reguladora setorial, com competências sancionatórias, a que se submete o controlador, durante a fase de instrução, para que se manifeste sobre eventuais consequências da imposição das sanções para o exercício de atividades econômicas reguladas desenvolvidas pelo controlador, especialmente na prestação de serviços públicos, assim como forneça outras informações que entender pertinentes.

§ 3º O órgão ou entidade reguladora setorial terá prazo de até 20 (vinte) dias úteis, prorrogável uma única vez por igual período, após o qual o processo poderá ter prosseguimento e ser decidido mesmo sem a manifestação.

§ 4º O infrator poderá se manifestar sobre as informações apresentadas pelo órgão ou entidade reguladora setorial em suas alegações finais.

§ 5º O disposto nos incisos I e IV a IX, do caput deste artigo, poderá ser aplicado às entidades e aos órgãos públicos, sem prejuízo do disposto na Lei nº 8.112, de 11 de dezembro de 1990, na Lei nº 8.429, de 2 de junho de 1992, e na Lei nº 12.527, de 18 de novembro de 2011.

Art. 4º As sanções serão aplicadas após procedimento administrativo mediante decisão fundamentada da ANPD, assegurado o direito à ampla defesa, ao contraditório e ao devido processo legal, nos termos da Lei nº 9.784, de 29 de janeiro de 1999, da LGPD, do Regimento Interno da ANPD, e do Regulamento do Processo de Fiscalização e do Processo Administrativo Sancionador, aprovado pela Resolução CD/ANPD nº 1, de 28 de outubro de 2021.

Parágrafo único. Em caso de pluralidade de infratores, as sanções serão aplicadas de forma individualizada.

Art. 5º As sanções serão aplicadas de forma gradativa, isolada ou cumulativamente, de acordo com as peculiaridades do caso concreto e nos termos deste Regulamento.

§ 1º A aplicação de sanção não exclui a possibilidade de adoção de outras medidas administrativas pela ANPD, previstas na LGPD, e no Regulamento do Processo de Fiscalização e do Processo Administrativo Sancionador, aprovado pela Resolução CD/ANPD nº 1, de 28 de outubro de 2021, e nas demais disposições legais e regulamentares em vigor, para garantir a conformidade do infrator à legislação de proteção de dados pessoais.

§ 2º O não cumprimento da sanção aplicada ou a ausência de regularização da conduta, no prazo estipulado, ensejará a progressão da atuação da ANPD para a aplicação de sanções mais graves, sem prejuízo da adoção das demais medidas legais cabíveis.

Art. 6º A intimação da sanção e a contagem dos prazos previstos neste Regulamento serão realizadas conforme o disposto no Regulamento do Processo de Fiscalização e do Processo Administrativo Sancionador, aprovado pela Resolução CD/ANPD nº 1/2021.

Art. 7º Na definição da sanção, devem ser considerados os seguintes parâmetros e critérios:

I - a gravidade e a natureza das infrações e dos direitos pessoais afetados;

II - a boa-fé do infrator;

III - a vantagem auferida ou pretendida pelo infrator;

IV - a condição econômica do infrator;

V - a reincidência específica;

VI - a reincidência genérica;

VII - o grau do dano, nos termos do Apêndice I deste Regulamento;

VIII - a cooperação do infrator;

IX - a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados, em consonância com a LGPD;

X - a adoção de política de boas práticas e governança;

XI - a pronta adoção de medidas corretivas; e

XII - a proporcionalidade entre a gravidade da falta e a intensidade da sanção.

Seção II Da Classificação das Infrações

Art. 8º As infrações são classificadas, segundo a gravidade e a natureza das infrações e dos direitos pessoais afetados, em:

I - leve;

II - média; ou

III - grave.

§ 1º A infração será considerada leve quando não verificada nenhuma das hipóteses relacionadas nos §§ 2º ou 3º deste artigo.

§ 2º A infração será considerada média quando puder afetar significativamente interesses e direitos fundamentais dos titulares de dados pessoais, caracterizada nas situações em que a atividade de tratamento puder impedir ou limitar, de maneira significativa, o exercício de direitos ou a utilização de um serviço, assim como ocasionar danos materiais ou morais aos titulares, tais como discriminação; violação à integridade física; ao direito à imagem e à reputação; fraudes financeiras ou uso indevido de identidade, desde que não seja classificada como grave.

§ 3º A infração será considerada grave quando:

I - verificada a hipótese estabelecida no § 2º deste artigo e cumulativamente, pelo menos, uma das seguintes:

a) envolver tratamento de dados pessoais em larga escala, caracterizado quando abranger número significativo de titulares, considerando-se, ainda, o volume de dados envolvidos, bem como a duração, a frequência e a extensão geográfica do tratamento realizado;

b) o infrator auferir ou pretender auferir vantagem econômica em decorrência da infração cometida;

c) a infração implicar risco à vida dos titulares;

d) a infração envolver tratamento de dados sensíveis ou de dados pessoais de crianças, de adolescentes ou de idosos;

e) o infrator realizar tratamento de dados pessoais sem amparo em uma das hipóteses legais previstas na LGPD;

f) o infrator realizar tratamento com efeitos discriminatórios ilícitos ou abusivos; ou

g) verificada a adoção sistemática de práticas irregulares pelo infrator;

II - constituir obstrução à atividade de fiscalização.

Seção III Da Aplicação de Advertência

Art. 9º A ANPD poderá aplicar a sanção de advertência quando:

I - a infração for leve ou média e não caracterizar reincidência específica; ou

II - houver necessidade de imposição de medidas corretivas.

Seção IV Da Aplicação de Multa Simples

Art. 10. A ANPD aplicará a sanção de multa simples quando:

I - o infrator não tenha atendido as medidas preventivas ou corretivas a ele impostas, dentro dos prazos estabelecidos, quando aplicável;

II - a infração for classificada como grave; ou

III - pela natureza da infração, da atividade de tratamento ou dos dados pessoais, e pelas circunstâncias do caso concreto, não for adequado aplicar outra sanção.

Subseção I Da Definição do Valor-Base

Art. 11. Para a definição do valor-base da multa simples será utilizada, para cada infração cometida, a metodologia descrita no Apêndice I deste Regulamento, considerados os seguintes elementos:

I - a classificação da infração;

II - o faturamento do infrator no último exercício disponível anterior à aplicação da sanção, excluídos os tributos de que trata o inciso III do § 1º do art. 12 do Decreto-Lei nº 1.598, de 26 de dezembro de 1977, relativo ao ramo de atividade empresarial em que ocorreu a infração; e

III - o grau do dano, nos termos do Apêndice I deste Regulamento.

§ 1º Para fins do disposto no inciso II do caput, será considerado como faturamento:

I - a receita bruta de que trata o art. 12 do Decreto-Lei nº 1.598, de 26 de dezembro de 1977, excluídas as devoluções e vendas canceladas, bem como os descontos concedidos incondicionalmente;

II - a receita bruta de que trata o § 1º do art. 3º da Lei Complementar nº 123, de 14 de dezembro de 2006, excluídas as devoluções e vendas canceladas, bem como os descontos concedidos incondicionalmente, para pessoas jurídicas de direito privado optantes pelo Simples Nacional;

III - o montante total de recursos auferidos, excluídos os tributos sobre vendas, para pessoas jurídicas de direito privado sem fins lucrativos, nos termos da legislação vigente; ou

IV - o valor definido pela ANPD, nos termos deste Regulamento, que poderá considerar:

a) o limite de faturamento previsto nos incisos I e II do art. 3º ou no § 1º do art. 18-A, conforme o caso, da Lei Complementar nº 123, de 14 de dezembro de 2006, no caso dos optantes pelo Simples Nacional;

b) o limite de faturamento previsto no inciso I, § 1º, do art. 4º, da Lei Complementar nº 182, de 1º de junho de 2021, no caso de startups;

c) o faturamento total da empresa, do grupo ou conglomerado de empresas no Brasil, caso não disponível a informação referente ao ramo de atividade empresarial em que ocorreu a infração;

d) o somatório dos rendimentos recebidos por pessoas naturais referentes a atividades de tratamento de dados pessoais, direta ou indiretamente; ou

e) nos demais casos, o limite de faturamento correspondente ao valor máximo de multa de R$ 50.000.000,00 (cinquenta milhões de reais).

§ 2º Será considerada a soma dos faturamentos obtidos em todos os ramos de atividade empresarial afetados, quando:

I - a infração tenha ocorrido em mais de um ramo de atividade empresarial; ou

II - os dados pessoais abrangidos pela infração são aproveitados, relacionados, ou utilizados como fontes de informação para processos de outros ramos de atividade da empresa, do grupo ou do conglomerado.

§ 3º Para fins do disposto no inciso IV do § 1º deste artigo, a ANPD definirá o valor do faturamento, quando:

I - o infrator não apresentar documentação inequívoca e idônea, caracterizada, dentre outras formas, por meio de fraude, falsidade, erro, inexatidão, simulação ou omissão quanto a qualquer elemento definido em lei como sendo de declaração obrigatória;

II - o infrator não apresentar documentação dentro do prazo estabelecido pela ANPD; ou

III - o valor do faturamento for apresentado de forma incompleta.

§ 4º Caso o infrator comprovadamente não tenha tido faturamento no último exercício anterior à aplicação da sanção, deve-se considerar no valor-base de cálculo da multa simples:

I - o valor do último faturamento apurado pelo infrator, excluídos os tributos, atualizado até o último dia do exercício anterior à aplicação da sanção; ou

II - na ausência deste, as faixas de valores absolutos, em reais, conforme disposto no Apêndice I deste Regulamento.

Subseção II Das Circunstâncias Agravantes

Art. 12. O valor da multa simples será acrescido nos percentuais abaixo, caso incidam as seguintes circunstâncias agravantes:

I - 10% (dez por cento) para cada caso de reincidência específica, até o limite de 40% (quarenta por cento);

II - 5% (cinco por cento) para cada caso de reincidência genérica, até o limite de 20% (vinte por cento);

III - 20% (vinte por cento) para cada medida de orientação ou preventiva descumprida no processo de fiscalização ou do procedimento preparatório que precedeu o processo administrativo sancionador, até o limite de 80% (oitenta por cento); e

IV - 30% (trinta por cento) para cada medida corretiva descumprida, até o limite de 90% (noventa por cento).

§ 1º Na hipótese de incidência de mais de um dos incisos deste artigo, deverão ser somados os percentuais relativos a cada fator.

§ 2º Na hipótese de haver registros computáveis a título de reincidência específica além do suficiente para a incidência do percentual máximo de agravamento previsto no inciso I deste artigo, os excedentes ingressarão na categoria de reincidência genérica, para o acréscimo previsto no inciso II.

Subseção III Das Circunstâncias Atenuantes

Art. 13. O valor da multa simples será reduzido, nos percentuais abaixo, caso incidam as seguintes circunstâncias atenuantes:

I - nos casos de cessação da infração:

a) 75% (setenta e cinco por cento), se previamente à instauração de procedimento preparatório pela ANPD;

b) 50% (cinquenta por cento), se após a instauração de procedimento preparatório e até a instauração de processo administrativo sancionador; ou

c) 30% (trinta por cento), se após a instauração de processo administrativo sancionador e até a prolação da decisão de primeira instância no âmbito do processo administrativo sancionador;

II - 20% (vinte por cento), nos casos de implementação de política de boas práticas e de governança ou de adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar os danos aos titulares, voltados ao tratamento seguro e adequado de dados, até a prolação da decisão de primeira instância no âmbito do processo administrativo sancionador;

III - nos casos em que o infrator tenha comprovado a implementação de medidas capazes de reverter ou mitigar os efeitos da infração sobre os titulares de dados pessoais afetados:

a) 20% (vinte por cento), previamente à instauração de procedimento preparatório ou processo administrativo sancionador pela ANPD; ou

b) 10% (dez por cento), se após a instauração de procedimento preparatório e até a instauração de processo administrativo sancionador; e

IV - 5% (cinco por cento), nos casos em que se verifique a cooperação ou boa-fé por parte do infrator.

§ 1º Para efeitos dos incisos I e III deste artigo, não serão consideradas atenuantes a cessação da infração e a adoção de medidas capazes de reverter ou mitigar os efeitos da infração decorrentes do mero cumprimento de determinação administrativa ou judicial.

§ 2º Na hipótese de incidência de mais de um dos incisos deste artigo, deverão ser somados os percentuais relativos a cada fator.

§ 3º Cabe ao infrator o ônus de comprovar perante a ANPD o cumprimento dos requisitos previstos neste artigo.

Subseção IV Da Incidência de Agravantes e Atenuantes

Art. 14. Incidirão sobre o valor-base da multa as circunstâncias agravantes constantes do art. 12 e as circunstâncias atenuantes estabelecidas no art. 13 deste Regulamento.

Art. 15. O resultado da aplicação do disposto no art. 14 deste Regulamento, em qualquer caso:

I - não poderá ser inferior aos valores mínimos previstos no Apêndice II deste Regulamento, exceto para os casos em que a vantagem auferida ou pretendida pelo infrator seja estimável, aplicando-se, neste caso, o dobro da vantagem econômica decorrente da infração; e

II - será limitado a 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado de empresas no Brasil no seu último exercício, excluídos os tributos, ou a R$ 50.000.000,00 (cinquenta milhões de reais).

Seção V Da Aplicação de Multa Diária

Art. 16. A ANPD aplicará a sanção de multa diária quando necessária para assegurar o cumprimento, em prazo certo, de uma sanção não pecuniária ou de uma determinação estabelecida pela ANPD, observados:

I - o limite total previsto no art. 52, inciso II, da LGPD, por infração;

II - a classificação da infração; e

III - o grau do dano, nos termos do Apêndice I deste Regulamento.

§ 1º O valor da multa diária será aplicado de forma acumulada, considerando o tempo entre a incidência da multa e o cumprimento da obrigação, até o limite total de R$ 50.000.000,00 (cinquenta milhões de reais) por infração.

§ 2º O grau do dano a que se refere o inciso III do caput, compreende a extensão do dano e o prejuízo causado, nos termos do art. 54 da LGPD.

§ 3º A sanção de multa diária poderá ser aplicada na hipótese do caput deste artigo ou quando o infrator:

I - após notificado do cometimento de irregularidades que tenham sido praticadas, deixar de saná-las no prazo assinalado;

II - praticar obstrução à atividade de fiscalização, desde que a aplicação da multa diária seja necessária para desobstrui-la; ou

III - praticar infração permanente não cessada até a decisão.

§ 4º A sanção de multa diária incide a partir:

I - do primeiro dia útil de atraso no cumprimento da sanção não pecuniária ou da determinação estabelecida pela ANPD, após a ciência oficial acerca da intimação da decisão que a estipulou, independentemente de nova intimação; ou

II - do dia útil seguinte ao da ciência oficial acerca da intimação da decisão que a estipulou até o cumprimento da obrigação.

Seção VI Do Pagamento da Sanção de Multa

Art. 17. A multa deverá ser paga no prazo de até 20 (vinte) dias úteis, contados a partir da ciência oficial da decisão de aplicação de sanção.

§ 1º A multa diária deverá ser paga no prazo de que trata o caput, contado da ciência oficial da decisão que apurar o montante devido.

§ 2º Aos agentes de tratamento de pequeno porte, assim definidos pela Resolução CD/ANPD nº 2, de 27 de janeiro de 2022, será concedido prazo em dobro para o pagamento das multas previstas no caput deste artigo.

§ 3º Quando não houver pagamento da multa no prazo do caput, o seu valor deve ser acrescido dos seguintes encargos:

I - juros de mora, contados do primeiro dia do mês subsequente ao do vencimento, equivalentes à taxa referencial do Sistema Especial de Liquidação e Custódia (Selic), para títulos federais, acumulada mensalmente, até o último dia do mês anterior ao pagamento, e de 1% (um por cento) no mês do pagamento; e

II - multa moratória de 0,33% (trinta e três centésimos por cento) por dia de atraso, até o limite de 20% (vinte por cento), calculada a partir do primeiro dia subsequente ao do vencimento do prazo para pagamento da sanção administrativa imputada definitivamente, até o dia em que ocorrer o seu pagamento, nos termos da legislação federal aplicável.

Art. 18. O infrator que renunciar expressamente ao direito de recorrer da decisão de primeira instância, fará jus a um fator de redução de 25% (vinte e cinco por cento) no valor da multa aplicada, caso faça o recolhimento no prazo para pagamento definido no caput do art. 17.

Art. 19. O pagamento realizado após a intimação da decisão de aplicação da sanção não prejudica o direito de interposição de recurso administrativo.

Parágrafo único. Em caso de provimento do recurso administrativo, o valor da multa paga será restituído com correção pelos juros correspondentes à taxa Selic ou de outro índice que vier a substituí-lo, conforme a legislação em vigor.

Seção VII Da Publicização da Infração

Art. 20. A ANPD poderá aplicar ao infrator a sanção de publicização, considerando a relevância e o interesse público da matéria.

§ 1º A sanção de publicização consiste na divulgação da infração pelo próprio infrator, após devidamente apurada e confirmada a sua ocorrência.

§ 2º A sanção de publicização deverá indicar o teor, o meio, a duração e o prazo para o seu cumprimento.

§ 3º Os ônus relacionados à publicização da infração serão suportados exclusivamente pelo infrator.

Art. 21. A sanção de publicização da infração não se confunde com a publicação de decisão de aplicação de sanção administrativa no Diário Oficial da União ou com os demais atos realizados pela ANPD, para fins de atendimento ao princípio da publicidade administrativa.

Seção VIII Do Bloqueio dos Dados Pessoais

Art. 22. A ANPD poderá aplicar ao infrator a sanção de bloqueio dos dados pessoais.

§ 1º A sanção de bloqueio dos dados pessoais consiste na suspensão temporária de qualquer operação de tratamento com os dados pessoais a que se refere a infração, mediante a sua guarda, até a regularização da conduta pelo infrator.

§ 2º O infrator deverá, assim que intimado da sanção de que trata o caput, comunicar imediatamente o bloqueio dos dados aos agentes de tratamento com os quais tenha realizado uso compartilhado de dados, para que repitam idêntico procedimento, exceto nos casos em que esta comunicação seja comprovadamente impossível ou implique esforço desproporcional, hipóteses que serão avaliadas pela ANPD.

§ 3º O infrator deverá comprovar junto à ANPD a regularização de sua conduta, para que seja autorizado a efetuar o desbloqueio dos dados pessoais.

Seção IX Da Eliminação dos Dados Pessoais

Art. 23. A ANPD poderá aplicar ao infrator a sanção de eliminação dos dados pessoais a que se refere a infração.

§ 1º A sanção de eliminação dos dados pessoais consiste na exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado.

§ 2º O infrator deverá, assim que intimado da sanção de que trata o caput, comunicar imediatamente a eliminação dos dados aos agentes de tratamento com os quais tenha realizado uso compartilhado de dados, para que repitam idêntico procedimento, exceto nos casos em que esta comunicação seja comprovadamente impossível ou implique esforço desproporcional, hipóteses que serão avaliadas pela ANPD.

Seção X Da Suspensão Parcial do Funcionamento do Banco de Dados

Art. 24. A ANPD poderá aplicar ao infrator a sanção de suspensão parcial do funcionamento do banco de dados a que se refere a infração.

§ 1º A sanção de que trata o caput tem o fim de suspender o funcionamento de banco de dados em desacordo com a legislação de proteção de dados pessoais.

§ 2º A sanção de suspensão parcial do funcionamento do banco de dados será aplicada pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador, levando em consideração a complexidade para regularização e a classificação da infração.

§ 3º Para a determinação do prazo, a ANPD deverá considerar o interesse público, o impacto aos direitos dos titulares de dados pessoais, a classificação da infração e a complexidade para regularização da atividade de tratamento pelo infrator.

§ 4º A regularização da atividade de tratamento deverá ser comprovada pelo infrator, para o restabelecimento do funcionamento do banco de dados parcialmente suspendido.

Seção XI Da Suspensão do Exercício de Atividade de Tratamento dos Dados Pessoais

Art. 25. A ANPD poderá aplicar ao infrator a sanção de suspensão do exercício de atividade de tratamento dos dados pessoais.

§ 1º A sanção de que trata o caput tem o objetivo de suspender o exercício de atividade de tratamento dos dados pessoais a que se refere a infração, com o fim de assegurar o cumprimento das normas legais e regulamentares, e será aplicada pelo período máximo de 6 (seis) meses, prorrogável por igual período.

§ 2º Para a determinação do prazo, a ANPD deverá considerar o interesse público, o impacto aos direitos dos titulares de dados pessoais e a classificação da infração.

Seção XII Da Proibição Parcial ou Total do Exercício de Atividades Relacionadas a Tratamento de Dados

Art. 26. A sanção de proibição do exercício de atividades relacionadas a tratamento de dados pessoais consiste no impedimento parcial ou total das operações de tratamento de dados pessoais, e poderá ser aplicada nos casos em que:

I - houver reincidência em infração punida com suspensão parcial do funcionamento do banco de dados ou suspensão do exercício da atividade de tratamento dos dados pessoais;

II - ocorrer tratamento de dados pessoais com fins ilícitos, ou sem amparo em hipótese legal; ou

III - o infrator perder ou não atender as condições técnicas e operacionais para manter o adequado tratamento de dados pessoais.

Seção XIII Do Atendimento ao Princípio da Proporcionalidade

Art. 27. A ANPD poderá afastar a metodologia de dosimetria de sanção de multa ou substituir a aplicação de sanção por outra constante neste Regulamento, nos casos em que for constatado prejuízo à proporcionalidade entre a gravidade da infração e a intensidade da sanção, observado o disposto no inciso XI do §1º do art. 52 da LGPD, neste Regulamento e nas demais normas aplicáveis.

Parágrafo único. A decisão de que trata o caput não poderá ser baseada em valores jurídicos abstratos e deverá ser motivada e fundamentada, demonstrando a necessidade e a adequação da medida imposta, a desproporcionalidade constatada, o interesse público a ser protegido e os parâmetros adotados na aplicação da sanção, consideradas as consequências práticas da decisão.

CAPÍTULO III DaS DISPOSIÇÕES FINAIS

Art. 28. As disposições constantes deste Regulamento aplicam-se também aos processos administrativos em curso quando de sua entrada em vigor.

APÊNDICE I AO REGULAMENTO DE DOSIMETRIA E APLICAÇÃO DE SANÇÕES ADMINISTRATIVAS
Metodologia para aplicação de sanção de multa

1. OBJETIVO

Este Apêndice descreve a metodologia de cálculo do valor das sanções de multa simples aplicáveis por infrações à Lei nº 13.709, de 14 de agosto de 2018 , e aos regulamentos expedidos pela Autoridade Nacional de Proteção de Dados (ANPD).

2. REFERÊNCIAS

2.1. Lei nº 13.709, de 14 de agosto de 2018 - Lei Geral de Proteção de Dados Pessoais (LGPD);

2.2. Lei nº 9.784, de 29 de janeiro de 1999 , que regula o processo administrativo no âmbito da Administração Pública Federal;

2.3. Resolução CD/ANPD nº 1, de 28 de outubro de 2021, que aprova o Regulamento do Processo de Fiscalização e do Processo Administrativo Sancionador no âmbito da ANPD;

2.4. Portaria nº 1, de 8 de março de 2021, que aprova o Regimento Interno da ANPD.

3. FÓRMULA DE CÁLCULO

O valor das sanções de multa simples é determinado pela seguinte fórmula:

Onde:

Vmulta = valor da multa;

Vbase = valor-base da multa;

Agravantes = soma dos percentuais, na forma decimal, das circunstâncias agravantes; e

Atenuantes = soma dos percentuais, na forma decimal, das circunstâncias atenuantes.

4. APLICAÇÃO DA FÓRMULA DE CÁLCULO
Para facilitar o entendimento, propõe-se dividir didaticamente a metodologia do cálculo da multa simples em 4 (quatro) etapas:

- Etapa 1 - determinação da alíquota-base;

- Etapa 2 - determinação do valor-base da multa;

- Etapa 3 - determinação do valor da multa; e

- Etapa 4 - adequação aos limites mínimo e máximo da multa.

Etapa 1

4.1. Determinação da alíquota-base (Abase)

Para definição da alíquota-base para fins de dosimetria da sanção de multa, a ANPD deverá, primeiramente, classificar a infração em leve, média ou grave, conforme os critérios previstos no Regulamento de Dosimetria e Aplicação de Sanções Administrativas.

De acordo com a classificação da infração, determinam-se as alíquotas mínimas e máximas, conforme Tabela 1 a seguir:

Tabela 1 - Alíquotas mínima (A1) e máxima (A2) para definição do valor base de multa Tabela 1 - Alíquotas mínima (A1) e máxima (A2) para definição do valor base de multa

 

Após definição do intervalo de alíquotas, determina-se o grau do dano por meio de uma escala de 0 a 3, conforme Tabela 2 a seguir.

Tabela 2 - Valores para Grau do dano

 

Após a definição do parâmetro "grau do dano", determina-se a alíquota-base da sanção de multa, respeitando-se o intervalo de alíquotas de multa entre o mínimo e o máximo.

Onde:

A2 = alíquota máxima em função da classificação da infração;

A1 = alíquota mínima em função da classificação da infração;

GD = grau do dano causado pela infração; e

Abase = alíquota-base.

Etapa 2

4.2. Determinação do valor-base (Vbase)

O valor-base da multa será calculado pela multiplicação da alíquota-base pelo faturamento bruto, excluídos os tributos.

Onde:

Vbase = valor-base da multa;

Abase = alíquota-base;

Faturamento = faturamento do infrator; e

Tributos = tributos incidentes.

Para os casos em que o infrator seja pessoa natural ou pessoa jurídica sem faturamento, o valor-base da multa será calculado segundo fórmula a seguir, considerando-se faixas de valores absolutos, em reais, de acordo com a classificação da infração, segundo a Tabela 3, e o parâmetro de grau do dano, a ser considerado conforme a Tabela 2:

Onde:

Vbase = valor-base;

V2 = valor máximo em função da classificação da infração;

V1 = valor mínimo em função da classificação da infração; e

GD = grau do dano causado pela infração.

Tabela 3 - Valores mínimo e máximo para definição do valor-base de multa para os casos em que o infrator é pessoa natural ou pessoa jurídica sem faturamento

 

Etapa 3

4.3. Determinação do valor da multa (Vmulta)

Sobre o valor-base da multa aplicam-se as circunstâncias agravantes e as atenuantes, conforme previsto no Regulamento de Dosimetria e Aplicação de Sanções Administrativas.

Onde:

Vmulta = valor da multa;

Vbase = valor-base da multa;

Agravantes = soma dos percentuais, na forma decimal, das circunstâncias agravantes; e

Atenuantes = soma dos percentuais, na forma decimal, das circunstâncias atenuantes.

Etapa 4

4.4. Adequação aos limites mínimo e máximo da multa (Vfinal)

Para os casos em que a vantagem auferida seja estimável, verifica-se se o valor da multa resultante é ao menos o valor do dobro da vantagem auferida, nos termos do art. 13, parágrafo único, I, do Regulamento de Dosimetria e Aplicação de Sanções Administrativas. Caso o valor da multa seja menor, realiza-se a sua adequação para que o valor final da multa seja o dobro do valor da vantagem auferida.

Por fim, adequa-se, quando necessário, o montante da multa aos valores mínimos de multa a serem aplicados previstos no Apêndice II e ao limite máximo de 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado de empresas no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração, de modo que:

Onde:

Vmin= valor mínimo de multa a ser considerada conforme Apêndice II ou o dobro da vantagem auferida, o que for maior;

Vmax= valor máximo de multa a ser considerado, respeitando-se o limite máximo de 2% (dois por cento) do faturamento bruto da pessoa jurídica ou R$ 50.000.000,00 (cinquenta milhões de reais), o que for menor; e

Vfinal = valor final de multa a ser aplicada.

Assim, o valor final da multa, por infração, terá como limite mínimo, o maior valor entre:

a) o dobro da vantagem auferida, quando estimável; e

b) o mínimo previsto no Apêndice II. Por sua vez, o limite máximo será o menor valor entre:

a) R$ 50.000.000,00 (cinquenta milhões de reais); e

b) 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado de empresas no Brasil no seu último exercício, excluídos os tributos.

APÊNDICE II AO REGULAMENTO DE DOSIMETRIA E APLICAÇÃO DE SANÇÕES ADMINISTRATIVAS

Valores mínimos a serem observados para adequação da sanção de multa simples, conforme descrito no Apêndice I.

Tabela 1 - Valores mínimos de multa simples para os casos em que o infrator é pessoa natural ou pessoa jurídica sem faturamento

 

Tabela 2 - Valores mínimos de multa simples para infratores não enquadrados na Tabela 1