Resolução do Regulamento de Dosimetria e Aplicação de Sanções Administrativa

Resolução CD/ANPD nº 4, de 24 de fevereiro de 2023

DIÁRIO OFICIAL DA UNIÃO


Publicado em: 27/02/2023 | Edição: 39 | Seção: 1 | Página: 59


Órgão: Ministério da Justiça e Segurança Pública/Autoridade Nacional de Proteção de Dados


RESOLUÇÃO CD/ANPD Nº 4, DE 24 DE FEVEREIRO DE 2023


Aprova o Regulamento de Dosimetria e Aplicação de Sanções Administrativas.


O CONSELHO DIRETOR DA AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS, no uso das atribuições que lhe foram conferidas pelo art. 55-J, IV, e § 2º da Lei nº 13.709, de 14 de agosto de 2018, Lei Geral de Proteção de Dados Pessoais (LGPD), pelo art. 2º, IV, e art. 29 do Anexo I do Decreto nº 10.474, de 26 de agosto de 2020, e previstas no Regimento Interno da Autoridade Nacional de Proteção de Dados, aprovado pela Portaria nº 1, de 8 de março de 2021,


CONSIDERANDO o que consta nos autos do Processo nº 00261.000358/2021-02; e


CONSIDERANDO a deliberação tomada no Circuito Deliberativo nº 02/2023, resolve:


Art. 1º Aprovar o Regulamento de Dosimetria e Aplicação de Sanções Administrativas, na forma do Anexo a esta Resolução.


Art. 2º O Regulamento do Processo de Fiscalização e do Processo Administrativo Sancionador no âmbito da Autoridade Nacional de Proteção de Dados, aprovado pela Resolução CD/ANPD nº 1, de 28 de outubro de 2021, publicada no Diário Oficial da União de 29 de outubro de 2021, passa a vigorar com as seguintes alterações:


“Art. 32…………………………………………………………………………………………..


§ 1º Poderão ser adotadas outras medidas não previstas neste artigo, se compatíveis com o disposto nos arts. 30 e 31.


§ 2º O não atendimento de medida preventiva:


I – enseja a progressão de atuação da ANPD para que, a seu critério, adote outras medidas preventivas ou atue de modo repressivo, com a adoção de medidas compatíveis; e


II – será considerado circunstância agravante em caso de instauração de processo administrativo sancionador.


§ 3º As medidas dispostas neste Capítulo IV não se confundem com as medidas preventivas a que se refere o art. 26, inciso IV do Anexo I do Decreto nº 10.474, de 2020.” (NR)


“Art. 55……………………………………………………………………………………………………


§ 1º A decisão será motivada, com indicação dos fatos e dos fundamentos jurídicos, bem como aplicará a respectiva sanção, quando cabível, seguindo os parâmetros e critérios definidos no § 1º do art. 52 da LGPD e na regulamentação expedida pela ANPD.


§ 2º Nos casos em que for imposta ao infrator a adoção de medidas, na forma de obrigação de fazer ou de não fazer, a decisão também deverá conter, quando aplicável:


I – o prazo para execução e as condições de aferição pela ANPD, ou de demonstração pelo infrator, do cumprimento das medidas impostas; e


II – o valor da multa simples ou da multa diária com a indicação do prazo para pagamento.” (NR)


“Art. 62……………………………………………………………………………………………………


§ 3º Mantida ou reconsiderada parcialmente a decisão, a Coordenação-Geral de Fiscalização remeterá o processo ao Conselho Diretor para prosseguimento, acompanhado de análise dos pressupostos gerais de admissibilidade recursal, da concessão do efeito suspensivo e do mérito do pedido, além de outras informações que entender pertinentes.


……………………………………………………………………………………………………… (NR)”


Art. 3º Ficam revogados os seguintes dispositivos do Regulamento do Processo de Fiscalização e do Processo Administrativo Sancionador no âmbito da Autoridade Nacional de Proteção de Dados, aprovado pela Resolução CD/ANPD nº 1, de 28 de outubro de 2021, publicada no Diário Oficial da União de 29 de outubro de 2021:


I – § 4º do art. 35; e


II – § 3º do art. 36.


Art. 4º Esta Resolução entra em vigor na data de sua publicação.


WALDEMAR GONÇALVES ORTUNHO JUNIOR

Diretor-Presidente


ANEXO


REGULAMENTO DE DOSIMETRIA E APLICAÇÃO DE SANÇÕES ADMINISTRATIVAS


CAPÍTULO I


DISPOSIÇÕES GERAIS


Art. 1º Este Regulamento tem por objetivo estabelecer parâmetros e critérios para aplicação de sanções administrativas pela Autoridade Nacional de Proteção de Dados (ANPD), bem como as formas e dosimetrias para o cálculo do valor-base das sanções de multa.


Art. 2º Para fins deste Regulamento adotam-se as seguintes definições:


I – grupo ou conglomerado de empresas: conjunto de empresas de fato ou de direito com personalidades jurídicas próprias, sob direção, controle ou administração de uma pessoa natural ou jurídica ou ainda grupo de pessoas que detêm, isolada ou conjuntamente, poder de controle sobre as demais, desde que demonstrado interesse integrado, efetiva comunhão de interesses e atuação conjunta das empresas dele integrantes;


II – infração: descumprimento de obrigação estabelecida na Lei nº 13.709, de 14 de agosto de 2018 (LGPD), e nos regulamentos expedidos pela ANPD;


III – infração permanente: conduta infrativa que se prolonga no tempo, mediante ação ou omissão do infrator referente ao mesmo dispositivo normativo;


IV – infrator: agente de tratamento que comete infração;


V – medidas corretivas: medidas determinadas pela ANPD com a finalidade de corrigir a infração e reconduzir o infrator à plena conformidade à LGPD e aos regulamentos expedidos pela ANPD, devendo ser aplicadas conjuntamente com a sanção de advertência, nos termos deste Regulamento;


VI – política de boas práticas e de governança: normas e processos internos que assegurem o cumprimento abrangente da legislação de proteção de dados pessoais, estabelecidos e implementados pelo agente de tratamento mediante a adoção de:


a) regras de boas práticas e de governança, nos termos do art. 50, caput e § 1º, da LGPD; ou


b) programa de governança em privacidade, nos termos do § 2º do art. 50 da LGPD;


VII – ramo de atividade empresarial: área de atuação de empresa, grupo ou conglomerado de empresas, conforme definido pela ANPD e verificado no caso concreto, podendo ser comprovada mediante objeto social, código de Classificação Nacional de Atividades Econômicas (CNAE), código de serviço diretamente relacionado, ou instrumentos congêneres;


VIII – reincidência específica: repetição de infração pelo mesmo infrator ao mesmo dispositivo legal ou regulamentar, no período de 5 (cinco) anos, contado do trânsito em julgado do processo administrativo sancionador, até a data do cometimento da nova infração;


IX – reincidência genérica: cometimento de infração pelo mesmo infrator, independentemente do dispositivo legal ou regulamentar, no período de 5 (cinco) anos, contado do trânsito em julgado do processo administrativo sancionador até a data do cometimento da nova infração, excluído o disposto no inciso VIII do caput; e


X – trânsito em julgado: atributo de decisão definitiva proferida em processo administrativo sancionador, no âmbito da ANPD, tornando-a imutável e indiscutível dentro do processo em que foi proferida.


CAPÍTULO II


DA APLICAÇÃO DAS SANÇÕES


Seção I


Das Sanções Administrativas


Art. 3º As infrações sujeitarão o infrator às seguintes sanções administrativas:


I – advertência, nos termos do art. 9º deste Regulamento;


II – multa simples, nos termos dos arts. 10 a 15 deste Regulamento;


III – multa diária, nos termos do art. 16 deste Regulamento;


IV – publicização da infração, após devidamente apurada e confirmada a sua ocorrência, nos termos dos arts. 20 e 21 deste Regulamento;


V – bloqueio dos dados pessoais a que se refere a infração, até a sua regularização, nos termos do art. 22 deste Regulamento;


VI – eliminação dos dados pessoais a que se refere a infração, nos termos do art. 23 deste Regulamento;


VII – suspensão parcial do funcionamento do banco de dados a que se refere a infração, nos termos do art. 24 deste Regulamento;


VIII – suspensão do exercício da atividade de tratamento dos dados pessoais a que se refere a infração, nos termos do art. 25 deste Regulamento; e


IX – proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados, nos termos do art. 26 deste Regulamento.


§ 1º As sanções previstas nos incisos VII, VIII e IX do caput deste artigo somente serão aplicadas após já ter sido imposta ao menos uma das sanções de que tratam os incisos II, III, IV, V e VI do caput deste artigo para o mesmo caso concreto.


§ 2º Na hipótese do § 1º deste artigo, a ANPD dará ciência ao principal órgão ou entidade reguladora setorial, com competências sancionatórias, a que se submete o controlador, durante a fase de instrução, para que se manifeste sobre eventuais consequências da imposição das sanções para o exercício de atividades econômicas reguladas desenvolvidas pelo controlador, especialmente na prestação de serviços públicos, assim como forneça outras informações que entender pertinentes.


§ 3º O órgão ou entidade reguladora setorial terá prazo de até 20 (vinte) dias úteis, prorrogável uma única vez por igual período, após o qual o processo poderá ter prosseguimento e ser decidido mesmo sem a manifestação.


§ 4º O infrator poderá se manifestar sobre as informações apresentadas pelo órgão ou entidade reguladora setorial em suas alegações finais.


§ 5º O disposto nos incisos I e IV a IX, do caput deste artigo, poderá ser aplicado às entidades e aos órgãos públicos, sem prejuízo do disposto na Lei nº 8.112, de 11 de dezembro de 1990, na Lei nº 8.429, de 2 de junho de 1992, e na Lei nº 12.527, de 18 de novembro de 2011.


Art. 4º As sanções serão aplicadas após procedimento administrativo mediante decisão fundamentada da ANPD, assegurado o direito à ampla defesa, ao contraditório e ao devido processo legal, nos termos da Lei nº 9.784, de 29 de janeiro de 1999, da LGPD, do Regimento Interno da ANPD, e do Regulamento do Processo de Fiscalização e do Processo Administrativo Sancionador, aprovado pela Resolução CD/ANPD nº 1, de 28 de outubro de 2021.


Parágrafo único. Em caso de pluralidade de infratores, as sanções serão aplicadas de forma individualizada.


Art. 5º As sanções serão aplicadas de forma gradativa, isolada ou cumulativamente, de acordo com as peculiaridades do caso concreto e nos termos deste Regulamento.


§ 1º A aplicação de sanção não exclui a possibilidade de adoção de outras medidas administrativas pela ANPD, previstas na LGPD, e no Regulamento do Processo de Fiscalização e do Processo Administrativo Sancionador, aprovado pela Resolução CD/ANPD nº 1, de 28 de outubro de 2021, e nas demais disposições legais e regulamentares em vigor, para garantir a conformidade do infrator à legislação de proteção de dados pessoais.


§ 2º O não cumprimento da sanção aplicada ou a ausência de regularização da conduta, no prazo estipulado, ensejará a progressão da atuação da ANPD para a aplicação de sanções mais graves, sem prejuízo da adoção das demais medidas legais cabíveis.


Art. 6º A intimação da sanção e a contagem dos prazos previstos neste Regulamento serão realizadas conforme o disposto no Regulamento do Processo de Fiscalização e do Processo Administrativo Sancionador, aprovado pela Resolução CD/ANPD nº 1/2021.


Art. 7º Na definição da sanção, devem ser considerados os seguintes parâmetros e critérios:


I – a gravidade e a natureza das infrações e dos direitos pessoais afetados;


II – a boa-fé do infrator;


III – a vantagem auferida ou pretendida pelo infrator;


IV – a condição econômica do infrator;


V – a reincidência específica;


VI – a reincidência genérica;


VII – o grau do dano, nos termos do Apêndice I deste Regulamento;


VIII – a cooperação do infrator;


IX – a adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar o dano, voltados ao tratamento seguro e adequado de dados, em consonância com a LGPD;


X – a adoção de política de boas práticas e governança;


XI – a pronta adoção de medidas corretivas; e


XII – a proporcionalidade entre a gravidade da falta e a intensidade da sanção.


Seção II


Da Classificação das Infrações


Art. 8º As infrações são classificadas, segundo a gravidade e a natureza das infrações e dos direitos pessoais afetados, em:


I – leve;


II – média; ou


III – grave.


§ 1º A infração será considerada leve quando não verificada nenhuma das hipóteses relacionadas nos §§ 2º ou 3º deste artigo.


§ 2º A infração será considerada média quando puder afetar significativamente interesses e direitos fundamentais dos titulares de dados pessoais, caracterizada nas situações em que a atividade de tratamento puder impedir ou limitar, de maneira significativa, o exercício de direitos ou a utilização de um serviço, assim como ocasionar danos materiais ou morais aos titulares, tais como discriminação; violação à integridade física; ao direito à imagem e à reputação; fraudes financeiras ou uso indevido de identidade, desde que não seja classificada como grave.


§ 3º A infração será considerada grave quando:


I – verificada a hipótese estabelecida no § 2º deste artigo e cumulativamente, pelo menos, uma das seguintes:


a) envolver tratamento de dados pessoais em larga escala, caracterizado quando abranger número significativo de titulares, considerando-se, ainda, o volume de dados envolvidos, bem como a duração, a frequência e a extensão geográfica do tratamento realizado;


b) o infrator auferir ou pretender auferir vantagem econômica em decorrência da infração cometida;


c) a infração implicar risco à vida dos titulares;


d) a infração envolver tratamento de dados sensíveis ou de dados pessoais de crianças, de adolescentes ou de idosos;


e) o infrator realizar tratamento de dados pessoais sem amparo em uma das hipóteses legais previstas na LGPD;


f) o infrator realizar tratamento com efeitos discriminatórios ilícitos ou abusivos; ou


g) verificada a adoção sistemática de práticas irregulares pelo infrator;


II – constituir obstrução à atividade de fiscalização.


Seção III


Da Aplicação de Advertência


Art. 9º A ANPD poderá aplicar a sanção de advertência quando:


I – a infração for leve ou média e não caracterizar reincidência específica; ou


II – houver necessidade de imposição de medidas corretivas.


Seção IV


Da Aplicação de Multa Simples


Art. 10. A ANPD aplicará a sanção de multa simples quando:


I – o infrator não tenha atendido as medidas preventivas ou corretivas a ele impostas, dentro dos prazos estabelecidos, quando aplicável;


II – a infração for classificada como grave; ou


III – pela natureza da infração, da atividade de tratamento ou dos dados pessoais, e pelas circunstâncias do caso concreto, não for adequado aplicar outra sanção.


Subseção I


Da Definição do Valor-Base


Art. 11. Para a definição do valor-base da multa simples será utilizada, para cada infração cometida, a metodologia descrita no Apêndice I deste Regulamento, considerados os seguintes elementos:


I – a classificação da infração;


II – o faturamento do infrator no último exercício disponível anterior à aplicação da sanção, excluídos os tributos de que trata o inciso III do § 1º do art. 12 do Decreto-Lei nº 1.598, de 26 de dezembro de 1977, relativo ao ramo de atividade empresarial em que ocorreu a infração; e


III – o grau do dano, nos termos do Apêndice I deste Regulamento.


§ 1º Para fins do disposto no inciso II do caput, será considerado como faturamento:


I – a receita bruta de que trata o art. 12 do Decreto-Lei nº 1.598, de 26 de dezembro de 1977, excluídas as devoluções e vendas canceladas, bem como os descontos concedidos incondicionalmente;


II – a receita bruta de que trata o § 1º do art. 3º da Lei Complementar nº 123, de 14 de dezembro de 2006, excluídas as devoluções e vendas canceladas, bem como os descontos concedidos incondicionalmente, para pessoas jurídicas de direito privado optantes pelo Simples Nacional;


III – o montante total de recursos auferidos, excluídos os tributos sobre vendas, para pessoas jurídicas de direito privado sem fins lucrativos, nos termos da legislação vigente; ou


IV – o valor definido pela ANPD, nos termos deste Regulamento, que poderá considerar:


a) o limite de faturamento previsto nos incisos I e II do art. 3º ou no § 1º do art. 18-A, conforme o caso, da Lei Complementar nº 123, de 14 de dezembro de 2006, no caso dos optantes pelo Simples Nacional;


b) o limite de faturamento previsto no inciso I, § 1º, do art. 4º, da Lei Complementar nº 182, de 1º de junho de 2021, no caso de startups;


c) o faturamento total da empresa, do grupo ou conglomerado de empresas no Brasil, caso não disponível a informação referente ao ramo de atividade empresarial em que ocorreu a infração;


d) o somatório dos rendimentos recebidos por pessoas naturais referentes a atividades de tratamento de dados pessoais, direta ou indiretamente; ou


e) nos demais casos, o limite de faturamento correspondente ao valor máximo de multa de R$ 50.000.000,00 (cinquenta milhões de reais).


§ 2º Será considerada a soma dos faturamentos obtidos em todos os ramos de atividade empresarial afetados, quando:


I – a infração tenha ocorrido em mais de um ramo de atividade empresarial; ou


II – os dados pessoais abrangidos pela infração são aproveitados, relacionados, ou utilizados como fontes de informação para processos de outros ramos de atividade da empresa, do grupo ou do conglomerado.


§ 3º Para fins do disposto no inciso IV do § 1º deste artigo, a ANPD definirá o valor do faturamento, quando:


I – o infrator não apresentar documentação inequívoca e idônea, caracterizada, dentre outras formas, por meio de fraude, falsidade, erro, inexatidão, simulação ou omissão quanto a qualquer elemento definido em lei como sendo de declaração obrigatória;


II – o infrator não apresentar documentação dentro do prazo estabelecido pela ANPD; ou


III – o valor do faturamento for apresentado de forma incompleta.


§ 4º Caso o infrator comprovadamente não tenha tido faturamento no último exercício anterior à aplicação da sanção, deve-se considerar no valor-base de cálculo da multa simples:


I – o valor do último faturamento apurado pelo infrator, excluídos os tributos, atualizado até o último dia do exercício anterior à aplicação da sanção; ou


II – na ausência deste, as faixas de valores absolutos, em reais, conforme disposto no Apêndice I deste Regulamento.


Subseção II


Das Circunstâncias Agravantes


Art. 12. O valor da multa simples será acrescido nos percentuais abaixo, caso incidam as seguintes circunstâncias agravantes:


I – 10% (dez por cento) para cada caso de reincidência específica, até o limite de 40% (quarenta por cento);


II – 5% (cinco por cento) para cada caso de reincidência genérica, até o limite de 20% (vinte por cento);


III – 20% (vinte por cento) para cada medida de orientação ou preventiva descumprida no processo de fiscalização ou do procedimento preparatório que precedeu o processo administrativo sancionador, até o limite de 80% (oitenta por cento); e


IV – 30% (trinta por cento) para cada medida corretiva descumprida, até o limite de 90% (noventa por cento).


§ 1º Na hipótese de incidência de mais de um dos incisos deste artigo, deverão ser somados os percentuais relativos a cada fator.


§ 2º Na hipótese de haver registros computáveis a título de reincidência específica além do suficiente para a incidência do percentual máximo de agravamento previsto no inciso I deste artigo, os excedentes ingressarão na categoria de reincidência genérica, para o acréscimo previsto no inciso II.


Subseção III


Das Circunstâncias Atenuantes


Art. 13. O valor da multa simples será reduzido, nos percentuais abaixo, caso incidam as seguintes circunstâncias atenuantes:


I – nos casos de cessação da infração:


a) 75% (setenta e cinco por cento), se previamente à instauração de procedimento preparatório pela ANPD;


b) 50% (cinquenta por cento), se após a instauração de procedimento preparatório e até a instauração de processo administrativo sancionador; ou


c) 30% (trinta por cento), se após a instauração de processo administrativo sancionador e até a prolação da decisão de primeira instância no âmbito do processo administrativo sancionador;


II – 20% (vinte por cento), nos casos de implementação de política de boas práticas e de governança ou de adoção reiterada e demonstrada de mecanismos e procedimentos internos capazes de minimizar os danos aos titulares, voltados ao tratamento seguro e adequado de dados, até a prolação da decisão de primeira instância no âmbito do processo administrativo sancionador;


III – nos casos em que o infrator tenha comprovado a implementação de medidas capazes de reverter ou mitigar os efeitos da infração sobre os titulares de dados pessoais afetados:


a) 20% (vinte por cento), previamente à instauração de procedimento preparatório ou processo administrativo sancionador pela ANPD; ou


b) 10% (dez por cento), se após a instauração de procedimento preparatório e até a instauração de processo administrativo sancionador; e


IV – 5% (cinco por cento), nos casos em que se verifique a cooperação ou boa-fé por parte do infrator.


§ 1º Para efeitos dos incisos I e III deste artigo, não serão consideradas atenuantes a cessação da infração e a adoção de medidas capazes de reverter ou mitigar os efeitos da infração decorrentes do mero cumprimento de determinação administrativa ou judicial.


§ 2º Na hipótese de incidência de mais de um dos incisos deste artigo, deverão ser somados os percentuais relativos a cada fator.


§ 3º Cabe ao infrator o ônus de comprovar perante a ANPD o cumprimento dos requisitos previstos neste artigo.


Subseção IV


Da Incidência de Agravantes e Atenuantes


Art. 14. Incidirão sobre o valor-base da multa as circunstâncias agravantes constantes do art. 12 e as circunstâncias atenuantes estabelecidas no art. 13 deste Regulamento.


Art. 15. O resultado da aplicação do disposto no art. 14 deste Regulamento, em qualquer caso:


I – não poderá ser inferior aos valores mínimos previstos no Apêndice II deste Regulamento, exceto para os casos em que a vantagem auferida ou pretendida pelo infrator seja estimável, aplicando-se, neste caso, o dobro da vantagem econômica decorrente da infração; e


II – será limitado a 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado de empresas no Brasil no seu último exercício, excluídos os tributos, ou a R$ 50.000.000,00 (cinquenta milhões de reais).


Seção V


Da Aplicação de Multa Diária


Art. 16. A ANPD aplicará a sanção de multa diária quando necessária para assegurar o cumprimento, em prazo certo, de uma sanção não pecuniária ou de uma determinação estabelecida pela ANPD, observados:


I – o limite total previsto no art. 52, inciso II, da LGPD, por infração;


II – a classificação da infração; e


III – o grau do dano, nos termos do Apêndice I deste Regulamento.


§ 1º O valor da multa diária será aplicado de forma acumulada, considerando o tempo entre a incidência da multa e o cumprimento da obrigação, até o limite total de R$ 50.000.000,00 (cinquenta milhões de reais) por infração.


§ 2º O grau do dano a que se refere o inciso III do caput, compreende a extensão do dano e o prejuízo causado, nos termos do art. 54 da LGPD.


§ 3º A sanção de multa diária poderá ser aplicada na hipótese do caput deste artigo ou quando o infrator:


I – após notificado do cometimento de irregularidades que tenham sido praticadas, deixar de saná-las no prazo assinalado;


II – praticar obstrução à atividade de fiscalização, desde que a aplicação da multa diária seja necessária para desobstrui-la; ou


III – praticar infração permanente não cessada até a decisão.


§ 4º A sanção de multa diária incide a partir:


I – do primeiro dia útil de atraso no cumprimento da sanção não pecuniária ou da determinação estabelecida pela ANPD, após a ciência oficial acerca da intimação da decisão que a estipulou, independentemente de nova intimação; ou


II – do dia útil seguinte ao da ciência oficial acerca da intimação da decisão que a estipulou até o cumprimento da obrigação.


Seção VI


Do Pagamento da Sanção de Multa


Art. 17. A multa deverá ser paga no prazo de até 20 (vinte) dias úteis, contados a partir da ciência oficial da decisão de aplicação de sanção.


§ 1º A multa diária deverá ser paga no prazo de que trata o caput, contado da ciência oficial da decisão que apurar o montante devido.


§ 2º Aos agentes de tratamento de pequeno porte, assim definidos pela Resolução CD/ANPD nº 2, de 27 de janeiro de 2022, será concedido prazo em dobro para o pagamento das multas previstas no caput deste artigo.


§ 3º Quando não houver pagamento da multa no prazo do caput, o seu valor deve ser acrescido dos seguintes encargos:


I – juros de mora, contados do primeiro dia do mês subsequente ao do vencimento, equivalentes à taxa referencial do Sistema Especial de Liquidação e Custódia (Selic), para títulos federais, acumulada mensalmente, até o último dia do mês anterior ao pagamento, e de 1% (um por cento) no mês do pagamento; e


II – multa moratória de 0,33% (trinta e três centésimos por cento) por dia de atraso, até o limite de 20% (vinte por cento), calculada a partir do primeiro dia subsequente ao do vencimento do prazo para pagamento da sanção administrativa imputada definitivamente, até o dia em que ocorrer o seu pagamento, nos termos da legislação federal aplicável.


Art. 18. O infrator que renunciar expressamente ao direito de recorrer da decisão de primeira instância, fará jus a um fator de redução de 25% (vinte e cinco por cento) no valor da multa aplicada, caso faça o recolhimento no prazo para pagamento definido no caput do art. 17.


Art. 19. O pagamento realizado após a intimação da decisão de aplicação da sanção não prejudica o direito de interposição de recurso administrativo.


Parágrafo único. Em caso de provimento do recurso administrativo, o valor da multa paga será restituído com correção pelos juros correspondentes à taxa Selic ou de outro índice que vier a substituí-lo, conforme a legislação em vigor.


Seção VII


Da Publicização da Infração


Art. 20. A ANPD poderá aplicar ao infrator a sanção de publicização, considerando a relevância e o interesse público da matéria.


§ 1º A sanção de publicização consiste na divulgação da infração pelo próprio infrator, após devidamente apurada e confirmada a sua ocorrência.


§ 2º A sanção de publicização deverá indicar o teor, o meio, a duração e o prazo para o seu cumprimento.


§ 3º Os ônus relacionados à publicização da infração serão suportados exclusivamente pelo infrator.


Art. 21. A sanção de publicização da infração não se confunde com a publicação de decisão de aplicação de sanção administrativa no Diário Oficial da União ou com os demais atos realizados pela ANPD, para fins de atendimento ao princípio da publicidade administrativa.


Seção VIII


Do Bloqueio dos Dados Pessoais


Art. 22. A ANPD poderá aplicar ao infrator a sanção de bloqueio dos dados pessoais.


§ 1º A sanção de bloqueio dos dados pessoais consiste na suspensão temporária de qualquer operação de tratamento com os dados pessoais a que se refere a infração, mediante a sua guarda, até a regularização da conduta pelo infrator.


§ 2º O infrator deverá, assim que intimado da sanção de que trata o caput, comunicar imediatamente o bloqueio dos dados aos agentes de tratamento com os quais tenha realizado uso compartilhado de dados, para que repitam idêntico procedimento, exceto nos casos em que esta comunicação seja comprovadamente impossível ou implique esforço desproporcional, hipóteses que serão avaliadas pela ANPD.


§ 3º O infrator deverá comprovar junto à ANPD a regularização de sua conduta, para que seja autorizado a efetuar o desbloqueio dos dados pessoais.


Seção IX


Da Eliminação dos Dados Pessoais


Art. 23. A ANPD poderá aplicar ao infrator a sanção de eliminação dos dados pessoais a que se refere a infração.


§ 1º A sanção de eliminação dos dados pessoais consiste na exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado.


§ 2º O infrator deverá, assim que intimado da sanção de que trata o caput, comunicar imediatamente a eliminação dos dados aos agentes de tratamento com os quais tenha realizado uso compartilhado de dados, para que repitam idêntico procedimento, exceto nos casos em que esta comunicação seja comprovadamente impossível ou implique esforço desproporcional, hipóteses que serão avaliadas pela ANPD.


Seção X


Da Suspensão Parcial do Funcionamento do Banco de Dados


Art. 24. A ANPD poderá aplicar ao infrator a sanção de suspensão parcial do funcionamento do banco de dados a que se refere a infração.


§ 1º A sanção de que trata o caput tem o fim de suspender o funcionamento de banco de dados em desacordo com a legislação de proteção de dados pessoais.


§ 2º A sanção de suspensão parcial do funcionamento do banco de dados será aplicada pelo período máximo de 6 (seis) meses, prorrogável por igual período, até a regularização da atividade de tratamento pelo controlador, levando em consideração a complexidade para regularização e a classificação da infração.


§ 3º Para a determinação do prazo, a ANPD deverá considerar o interesse público, o impacto aos direitos dos titulares de dados pessoais, a classificação da infração e a complexidade para regularização da atividade de tratamento pelo infrator.


§ 4º A regularização da atividade de tratamento deverá ser comprovada pelo infrator, para o restabelecimento do funcionamento do banco de dados parcialmente suspendido.


Seção XI


Da Suspensão do Exercício de Atividade de Tratamento dos Dados Pessoais


Art. 25. A ANPD poderá aplicar ao infrator a sanção de suspensão do exercício de atividade de tratamento dos dados pessoais.


§ 1º A sanção de que trata o caput tem o objetivo de suspender o exercício de atividade de tratamento dos dados pessoais a que se refere a infração, com o fim de assegurar o cumprimento das normas legais e regulamentares, e será aplicada pelo período máximo de 6 (seis) meses, prorrogável por igual período.


§ 2º Para a determinação do prazo, a ANPD deverá considerar o interesse público, o impacto aos direitos dos titulares de dados pessoais e a classificação da infração.


Seção XII


Da Proibição Parcial ou Total do Exercício de Atividades Relacionadas a Tratamento de Dados


Art. 26. A sanção de proibição do exercício de atividades relacionadas a tratamento de dados pessoais consiste no impedimento parcial ou total das operações de tratamento de dados pessoais, e poderá ser aplicada nos casos em que:


I – houver reincidência em infração punida com suspensão parcial do funcionamento do banco de dados ou suspensão do exercício da atividade de tratamento dos dados pessoais;


II – ocorrer tratamento de dados pessoais com fins ilícitos, ou sem amparo em hipótese legal; ou


III – o infrator perder ou não atender as condições técnicas e operacionais para manter o adequado tratamento de dados pessoais.


Seção XIII


Do Atendimento ao Princípio da Proporcionalidade


Art. 27. A ANPD poderá afastar a metodologia de dosimetria de sanção de multa ou substituir a aplicação de sanção por outra constante neste Regulamento, nos casos em que for constatado prejuízo à proporcionalidade entre a gravidade da infração e a intensidade da sanção, observado o disposto no inciso XI do §1º do art. 52 da LGPD, neste Regulamento e nas demais normas aplicáveis.


Parágrafo único. A decisão de que trata o caput não poderá ser baseada em valores jurídicos abstratos e deverá ser motivada e fundamentada, demonstrando a necessidade e a adequação da medida imposta, a desproporcionalidade constatada, o interesse público a ser protegido e os parâmetros adotados na aplicação da sanção, consideradas as consequências práticas da decisão.


CAPÍTULO III


DAS DISPOSIÇÕES FINAIS


Art. 28. As disposições constantes deste Regulamento aplicam-se também aos processos administrativos em curso quando de sua entrada em vigor.

   

Este conteúdo não substitui o publicado na versão certificada.