A ANPD - Autoridade Nacional de Proteção de Dados publicou nesta quinta-feira, 6, no DOU, a primeira sanção por descumprimento e “indícios de infração” à LGPD – lei Geral de Proteção de Dados.
A advertência e a multa se dão quase três anos após a entrada em vigor da lei de proteção de dados, e foram aplicadas a uma empresa de telemarketing por violação de três artigos da LGPD. Entre as infrações, a empresa teria deixado de indicar um encarregado para proteção de dados e ignorado processo administrativo.
Com a sanção, a empresa terá de pagar R$ 14,4 mil aos cofres públicos.
Foram aplicadas as seguintes sanções:
- Advertência por infração ao art. 41 da LGPD;
- Multa no valor de R$ 7.200 por infração ao art. 7º da LGPD, e R$ 7.200 por infração ao art. 5º do regulamento de fiscalização, totalizando R$ 14.400
Segundo o despacho, a empresa teria deixado de indicar um Data Protection Officer e um encarregado de proteção de dados. Também não teria comprovado a "base legal" para tratamento de dados e não teria atendido pedidos da ANPD durante o processo administrativo que culminou na multa.
A decisão ocorre na “primeira instância” da autarquia, sendo possível recorrer.
Confira o despacho:
Análise
Para especialistas em Direito Digital, o fato de a primeira sanção ter sido aplicada a pequena empresa, com multa relativamente baixa, mostra que as exigências da lei servem para todos, e não apenas às grandes companhias.
Veja as observações:
“Ao longo dos últimos anos, as micro e pequenas empresas foram as mais reticentes em adequar suas atividades aos termos da legislação, sob o pretenso argumento de que eventual fiscalização da lei seria focada somente em grandes organizações.” Alexander Coelho, sócio de Godke Advogados
"Essa multa pecuniária é um lembrete contundente de que a proteção de dados é uma responsabilidade séria e que as empresas devem cumprir as exigências legais para evitar consequências negativas para si próprias. (...) A adequação à LGPD é obrigatória para todas as empresas que gerenciam dados pessoais, visando garantir a proteção e privacidade dos titulares de dados. Um passo fundamental nesse processo é nomear os agentes de tratamento de dados, caso do DPO – que a empresa advertida e multada não dispunha. Ele funciona como um mediador das comunicações e reclamações entre os titulares de dados e a ANPD, atendendo toda demanda que a empresa receber; adotando providências legais que irá eximir as companhias de advertências e multas, além de preservar a credibilidade e imagem das empresas no que envolver gestão de dados pessoais." Paulo Vinícius de Carvalho Soares, sócio-head da Lee, Brock, Camargo Advogados (LBCA)
"O fato de o primeiro caso de aplicação das penalidades administrativas ser uma pequena empresa e em um valor relativamente baixo ajuda a reforçar dois importantes pontos: que não são só grandes corporações, incluindo as big techs, que serão penalizadas; e que as multas serão aplicadas para de fato punir de forma viável e compatível com o porte do infrator. Isso porque a imagem que a maioria das pessoas tem é de que quem violar a LGPD será punido com uma multa de 50 milhões, algo que é irreal e incompatível com maioria das empresas, e serve de desincentivo para se adequarem à lei." Márcio Chaves, sócio do escritório Almeida Advogados