A primeira multa da Lei Geral de Proteção de Dados: Um recado ao mercado nacional e às futuras campanhas eleitorais
quinta-feira, 13 de julho de 2023
Atualizado às 07:55
A Autoridade Nacional de Proteção de Dados do Brasil (ANPD), após grande expectativa, publicou sua primeira sanção por descumprimento da Lei Geral de Proteção de Dados Pessoais (LGPD): uma microempresa do ramo de telefonia foi condenada à pena de advertência e multa no valor de R$ 14.000,00 (quatorze mil reais)1.
O primeiro fato que chamou atenção em relação a essa sanção foi a natureza da empresa: uma microempresa, classificada como agente de tratamento de pequeno porte. As implicações dessa situação são relevantes, uma vez que a ANPD busca deixar claro que não apenas as grandes empresas de tecnologia e as maiores empresas nacionais estarão sujeitas às suas medidas, mas sim todo o mercado deve estar atento às exigências legais de proteção de dados.
Essa estratégia lembra uma situação semelhante ocorrida em 2018, quando a Regulação Geral de Proteção de Dados da União Europeia entrou em vigor. Naquela ocasião, a autoridade competente da Áustria, em sua primeira sanção, direcionou-se a um café de apostas esportivas que estava realizando monitoramento indevido de uma área pública por meio de câmeras de vigilância.2
Embora as consequências dessa mensagem para o mercado demandem algum tempo para serem observadas, duas situações merecem destaque: a empresa construiu sua base de dados utilizando informações públicas disponíveis na internet por meio de práticas de web scraping e divulgava a venda dessa base de dados para fins eleitorais3.
Conforme relatado no documento da ANPD, o processo foi iniciado com base em uma denúncia recebida do Ministério Público do Estado de São Paulo, Promotoria de Justiça de Ubatuba. A denúncia revelava a oferta de uma lista de contatos de eleitores da referida cidade no WhatsApp, com o intuito de utilizá-la para fins eleitorais.
Em sede de instrução, a ANPD realizou os seguintes questionamentos: "a) Qual o Encarregado pelo Tratamento de Dados Pessoais indicado por essa empresa para se comunicar com ANPD e quais são as informações de contato com o Encarregado, como obriga a Lei Geral de Proteção de Dados Pessoais (LGPD)? b) Qual a origem dos dados que essa empresa oferece para disparar mensagens de whatsapp, conforme consta abertamente do site dessa empresa? Ou seja, de onde essa empresa pega ou acessa os dados para disparar as mensagens? Fornecer detalhadamente os dados de identificação e de contato com seu fornecedor desses dados pessoais. c) Como é montada a base de dados que serve de objeto para o serviço oferecido no sítio eletrônicohttp://telekall.com/ .... d) Quais os dados que fazem parte do banco de dados disponibilizado para seus clientes? e) Quantos registros possui atualmente em seu banco de dados? f) Quaisquer outras informações que entenda importantes para a elucidação dos fatos do presente caso poderão ser encaminhadas em complemento às informações requisitadas."
Segundo o Encarregado da empresa, a base de dados havia sido construída a partir de técnicas de web scraping de dados públicos na internet, e que, "portanto, poderiam ser utilizados (tratados) por qualquer pessoa"4. Sobre os desafios jurídicos da prática em questão, indicamos a leitura do artigo "Os desafios jurídicos do web scraping", publicado nessa mesma coluna5.
A ANPD entendeu que houve confissão por parte do Encarregado da empresa acerca da construção da base de dados e insuficiência de argumentação sobre o uso da base legal de legítimo interesse, condenado nas sanções já citadas.
Outro fator que chama atenção foi o uso da base de dados no contexto eleitoral, que, além da LGPD, também tem a Res. 23.610 do Tribunal Superior Eleitoral6 (TSE) regulamentando o uso de dados por campanhas. A própria ANPD, em conjunto com o TSE, no final de 2021, publicou um Guia Orientativo sobre a questão do uso de dados pessoais em campanhas eleitorais7.
A utilização de dados pessoais em campanhas eleitorais também é temática séria no âmbito eleitoral, uma vez que viola a paridade de armas e a igualdade no pleito. Um caso paradigma que merece atenção é o da Cambridge Analytica, empresa condenada pelo uso ilegal de dados pessoais nas eleições dos Estados Unidos em 2016, os dados foram colhidos com o intuito de manipular a intenção dos votos dos eleitores, por meio de dados disponibilizados pelo Facebook.
É desta forma que a Res. 23.610 do TSE trouxe a normatização da propaganda eleitoral, utilização do horário gratuito, e condutas ilícitas em campanha para as eleições municipais de 2020, com atualização em 2021 prevendo regras referentes à LGPD, sob pena de multa e outras modalidades de pena.
No caso pertinente, a fiscalização dos órgãos da ANPD foi iniciada a partir de denúncia de que a empresa Telekall Infoservice estaria ofertando uma listagem de contatos de WhatsApp de eleitores para fins de disseminação de material de campanha eleitoral.
Ainda que as disposições acerca da LGPD no referido regramento do TSE tenham sido inseridas em 2021, cabe uma análise do cenário das possíveis consequências dessa sanção para as próximas eleições. A atualização do TSE prevê no seu art. 10, §4º a necessidade de que o uso de dados por controladores e operadores devem respeitar a finalidade para o qual o dado foi coletado8, a empresa estaria realizando também um ilícito na seara eleitoral.
Ademais, os candidatos(as) que porventura adquirissem bases de dados através dos mesmos mecanismos que aqueles empregados Telekall também estariam sujeitos a sanções específicas da justiça eleitoral podendo até mesmo levar à cassação do diploma ou registro9, devido à conjunção de sistemas sancionatórios. Ainda, cabe destacar que, no contexto eleitoral. o uso de dados pessoais para envio de mensagens eletrônicas só pode se dar para endereços cadastrados gratuitamente e com a devida base legal (art. 28, III da Res 23.610/TSE), o que não se verificaria no caso.
Nesse contexto, cabe saber se a ANPD irá requisitar à Telekall possíveis agentes de tratamento do contexto eleitoral que tenham adquirido os dados pessoais após 2021, levando a investigações envolvendo o uso dos dados pessoais em campanhas no pleito de 2022.
Por fim, o uso desses dados poderia ser relacionado ao envio de fatos sabidamente inverídicos com a finalidade de gerar desinformação no pleito eleitoral. No caso em tela, os fatos denunciados foram relativos à eleição municipal de 2020, ano em que o TSE teve imensa dificuldade em conter a disseminação de notícias falsas, em sua maior ocorrência, pelo WhatsApp.
Ainda que o descumprimento à LGPD não esteja diretamente ligado à desinformação, a possibilidade de uso de bases de dados pessoais coletadas ilicitamente para essa finalidade agravaria um cenário já problemático.
Não é incomum o uso algoritmos com propósitos políticos, porém, as preocupações com a governança da Internet são espaços onde o poder político e econômico estão se desdobrando, mediando tantas questões de importância na sociedade, temas como direitos de expressão e discurso de ódio, segurança nacional, privacidade, desinformação, participação política, capacidade de funcionamento da sociedade, estabilidade dos mercados e de todas as indústrias, perpassam pelo uso de algoritmos e merecem atenção pelo fato de influenciarem em grandes decisões políticas e até econômicas.
Assim, a primeira sanção da ANPD se coloca não somente como um ato voltado à concretizar o "cenário de terror" das possíveis sanções de 50 milhões de reais previstas nas legislação, mas também como um sinal da multidisciplinariedade que a proteção de dados possui com outras áreas, o alcance da legislação à agentes de tratamento de pequeno porte e os desafios técnicos e informacionais que vivenciamos na era digital.
__________
1 Disponível aqui. Acesso em 07 de julho de 2023.
2 Disponível aqui. Acesso em 07 de julho de 2023.
3 Disponível aqui. Acesso em 07 de julho de 2023.
4 Item 6.12 do relatório da ANPD.
5 POSSA, Alisson. Os desafios jurídicos do web scraping. Coluna DADOS PÚBLICOS. MIGALHAS. 08 de dezembro de 2022. Disponível aqui. Acesso em 07 de julho de 2023.
6 Disponível aqui.
7 BRASIL. Autoridade Nacional de Proteção de Dados; Tribunal Superior Eleitoral. Guia orientativo: aplicação da Lei Geral de Proteção de Dados Pessoais (LGPD) por agentes de tratamento no contexto eleitoral. Brasília: Tribunal Superior Eleitoral, 2021, p. 33-37. Disponível aqui.
8 §4º: O tratamento de dados pessoais por qualquer controlador ou operador para fins de propaganda eleitoral deverá respeitar a finalidade para a qual o dado foi coletado, observados os demais princípios e normas previstas na Lei Geral de Proteção de Dados (LGPD) e as disposições desta Resolução
9 POSSA, Alisson. Proteção de Dados e Eleições. São Paulo: Expressa, 2022. E-book.