RESOLUÇÃO CD/ANPD Nº 4, DE 24 DE FEVEREIRO DE 2023
(D.O.U. de 27 de fevereiro de 2023)

Foi publicada a Resolução nº 4, de 24 de fevereiro de 2023 (D.O.U. de 27 de fevereiro de 2023), do Conselho Diretor da Autoridade Nacional de Proteção de Dados, vinculado ao Ministério da Justiça e Segurança Pública, que aprovou o Regulamento de Dosimetria e Aplicação de Sanções Administrativas para os casos de descumprimento à Lei nº 13.079/2018 (Lei Geral de Proteção de Dados-LGPD).

A Resolução regulamenta a aplicação dos artigos 52 e 53 da LGPD e define os critérios e parâmetros para as sanções pecuniárias e não pecuniárias, assim como as formas e dosimetrias para o cálculo das multas. Ainda, altera os artigos 32, 55 e 62 da Resolução nº 1 CD/ANPD, visando aprimorar o processo administrativo sancionador e de fiscalização.

As sanções administrativas são àquelas previstas no artigo 3º do Anexo da Resolução nº 4/2023 e poderão ser aplicadas de forma gradativa, isolada ou cumulativamente, conforme cada caso (na hipótese de haver mais de um infrator, as sanções serão aplicadas de forma individualizada):

ADVERTÊNCIAS – A advertência será aplicada pela autoridade da ANPD apenas para infrações leves e medias e que não sejam de reincidência específica;

MULTA SIMPLES – Correspondente até 2% do faturamento da empresa, limitada, no total, a R$ 50.000.000,00 por infração. A aplicação verificará incidência de infração leve ou média e inexistência de reincidência específica, assim como a advertência será aplicada para os fins de medidas corretivas;

MULTA DIARIA – Levará em consideração medidas impostas pela ANPD, com prazo definido, mas não cumpridas pelo infrator. Poderá ainda ser aplicada multa diária quando houver obstrução imotivada para a fiscalização da ANPD. A multa diária terá como limite total R$ 50.000.000,00;

PUBLICIZAÇÃO DA INFRAÇÃO – Consiste na divulgação da infração pelo próprio infrator, após devidamente apurada e confirmada a sua ocorrência. A decisão da ANPD deverá indicar o teor, o meio, a duração e o prazo para o seu cumprimento. Os ônus relacionados à publicação da infração serão suportados exclusivamente pelo infrator;

BLOQUEIO DOS DADOS PESSOAIS – Consiste na suspensão temporária de qualquer operação de tratamento com os dados pessoais a que se refere a infração, mediante a sua guarda, até a regularização da conduta pelo infrator. Este deverá, assim que intimado da sanção, comunicar o bloqueio dos dados aos agentes de tratamento com os quais tenha realizado uso compartilhado de dados, para que repitam idêntico procedimento. Ainda, o infrator deverá comprovar junto à ANPD a regularização de sua conduta, para que seja autorizado a efetuar o desbloqueio dos dados pessoais;

ELIMINAÇÃO DOS DADOS PESSOAIS – Consiste na exclusão de dados pessoais ou de conjunto de dados armazenados em banco de dados;

SUSPENSÃO PARCIAL DO FUNCIONAMENTO DO BANCO DE DADOS – Esta penalidade poderá ser aplicada pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização do tratamento pelo controlador;

SUSPENSÃO DO EXERCÍCIO DE ATIVIDADE DE TRATAMENTO DOS DADOS PESSOAIS – A ANPD poderá aplicar ao infrator a sanção de suspensão do exercício de atividade de tratamento dos dados pessoais pelo período máximo de 6 (seis) meses, prorrogável por igual período;

PROIBIÇÃO PARCIAL OU TOTAL DO EXERCÍCIO DE ATIVIDADES RELACIONADAS A TRATAMENTO DE DADOS – Consiste no impedimento parcial ou total das operações de tratamento de dados pessoais. Neste caso deverá haver a demonstração de que o tratamento de dados pessoais foi realizado para fins ilícitos, ou sem amparo em hipótese legal; ou ainda no caso do infrator perder ou não atender as condições técnicas e operacionais para manter o adequado tratamento de dados pessoais.

Nos termos da Resolução, as infrações passíveis de punições administrativas são classificadas, segundo a gravidade e a natureza das infrações e dos direitos pessoais afetados, em leve, média ou grave.

Na definição da sanção serão considerados parâmetros e critérios previstos em lei, tais com a gravidade e a natureza das infrações e dos direitos pessoais afetados; a boa-fé do infrator; a vantagem auferida ou pretendida pelo infrator; a condição econômica do infrator; a reincidência específica; a reincidência genérica; o grau do dano; a cooperação do infrator; a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados, em consonância com a LGPD; a adoção de política de boas práticas e governança; a pronta adoção de medidas corretivas; e a proporcionalidade entre a gravidade da falta e a intensidade da sanção.

A classificação determina quais as penalidades serão aplicadas. As infrações são aquelas não classificadas como médias ou graves. As infrações médias são aquelas que a atividade de tratamento tenha impedido ou limitado o exercício de direitos do titular de dados ou a utilização de um serviço; ou tenham ocasionado danos materiais ou morais aos titulares. As infrações graves são aquelas que cumularem as condições de infração média e: envolver tratamento de dados em larga escala; o infrator auferir ou pretender auferir vantagem econômica; a infração implicar risco à via dos titulares; a infração envolver dados sensíveis ou dados de crianças, adolescentes ou idosos; no caso de o tratamento seja realizado sem amparo de base legal; na hipótese de o tratamento seja realizado com efeitos discriminatórios ilícitos ou abusivos; quando for verificada a adoção sistemática de práticas irregulares ou quando houve obstrução da atividade fiscalizatória da ANPD.

Assegurando-se o direto à ampla defesa e ao contraditório, as sanções serão aplicadas após regular procedimento administrativo e decorrente de decisão fundamentada. A Resolução fixou o prazo de 40 dias para empresas de pequeno porte e de 20 para a demais, contados da ciência do infrator, para o pagamento de multa.

Da decisão caberá recurso administrativo para instância superior. Ao infrator que renunciar ao direito de recorrer em primeira instancia haverá desconto de 25% no valor total da penalidade.

No que respeita a dosimetria das penalidades, verificam-se as hipóteses de agravantes e atenuantes a serem aplicadas, com a finalidade de aumentar ou diminuir a pena.

A Resolução elencou as circunstâncias que serão consideradas agravantes e atenuantes sobre o cálculo do valor-base da multa:

Agravantes (artigo 12): caso de reincidência específica (quando há cometimento de duas ou mais infrações do mesmo tipo); caso de reincidência genérica (quando há cometimento de duas ou mais infrações de tipos diferentes); medida de orientação ou preventiva descumprida no processo de fiscalização, ou do procedimento preparatório que precedeu o processo administrativo sancionador; medida corretiva descumprida.

Atenuantes (artigo13): cessação da infração, variando a porcentagem de redução de acordo com o momento em que verificada a cessação; quando houver implementação de política de boas práticas e de governança ou de adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar os danos aos titulares, voltados ao tratamento seguro e adequado de dados, até a prolação da decisão de primeira instância no âmbito do processo administrativo sancionador; quando o infrator tenha comprovado a implementação de medidas capazes de reverter ou mitigar os efeitos da infração sobre os titulares de dados pessoais afetados, variando a porcentagem de redução de acordo com o momento em que forem implementadas as medidas; nos casos em que se verifique a cooperação ou boa-fé por parte do infrator.

As circunstâncias agravantes e atenuantes incidirão sobre o valor-base da multa. A Resolução estabelece os valores mínimos para aplicação das multas.

A íntegra da Resolução pode ser acessada clicando aqui.

PUBLICADO MANUAL DE ORIENTAÇÃO DE ESOCIAL V S-1.1 CONSOLIDADO ATÉ A NOTA ORIENTATIVA V S-1.1 Nº 03/2023

Foi publicada no D.O.U. de 10.04.2023 a consolidação de notas orientativas relativamente ao Manual de Orientação do eSocial.

Esta última versão contempla orientações aos eventos, campos e regras existentes inclusive no leiaute do eSocial na Versão S-1.1 (até a NO S-1.1 – 03.2023), mormente no que respeita a alterações dos eventos S-2210 – Comunicação de Acidente de Trabalho, no item 15.3, e no evento S-2240 – Condições Ambientais do Trabalho – Agentes Nocivos, na admissão por transferência, no ítem 14.1.

A íntegra do Manual de Orientação do eSocial pode ser acessada clicando aqui.