A ANPD aplica sua primeira sanção a uma empresa com base na LGPD. O que isso significa para o Brasil?
Nada mais é do que o velho apelo para que nosso país definitivamente venha a ter o mesmo destaque que seus pares na construção de um robusto regime de proteção de dados pessoais.
sábado, 22 de julho de 2023
Atualizado em 21 de julho de 2023 11:44
Na edição de 6 de julho de 2023 do Diário Oficial da União foi publicado o despacho da Coordenação-Geral de Fiscalização da Autoridade Nacional de Proteção de Dados - ANPD, tratando da primeira decisão administrativa brasileira de aplicação de sanção com base na Lei Geral de Proteção de Dados Pessoais (lei 13.709/18), a LGPD. A decisão foi adotada no curso de um processo administrativo que apurava indícios de infração à LGPD por parte de uma microempresa atuante no segmento de telemarketing. Simbolicamente, não se trata apenas de uma primeira decisão sancionatória e aplicação de multa em matéria de proteção de dados pessoais no Brasil. Antes, a atuação da ANPD passa a fazer frente ao conjunto das medidas fiscalizatórias e sancionatórias adotadas pelas mais importantes autoridades nacionais de proteção de dados no globo.
Sem entrar no mérito das capacidades estruturais da Autoridade para fazer frente às demandas inauguradas pela LGPD e o fato de que apenas essa empresa - como ente privado e agente de pequeno porte - figurava na lista das partes envolvidas em processos sancionatórios, publicada em março deste ano, a decisão traz seus aprendizados. Parece ser oportuna a tarefa dos especialistas de analisar os desdobramentos desse primeiro caso para distintos setores da indústria e observar o horizonte com cautela.
Muito resumidamente, as irregularidades apuradas no processo administrativo foram: (i) ausência de comprovação de base legal de tratamento de dados pessoais; (ii) ausência de registro de operações de tratamento de dados (RoPA); (iii) não apresentação de Relatório de Impacto à Proteção de Dados Pessoais (RIPD); (iv) inexistência de um encarregado de dados (DPO); e, (v) não atendimento a requisições feitas pela ANPD. Considerando a apuração, a ANPD decidiu aplicação de um conjunto de sanções para a empresa de telemarketing: (i) advertência, por infração ao art. 41 da LGPD (ausência ou irregularidade de nomeação de Encarregado de Dados- DPO); (ii) multa simples no valor de R$ 7.200,00, por infração ao art. 7º da LGPD (ausência de base legal de tratamento de dados pessoais); e (iii) multa simples no valor de R$ 7.200,00, por infração ao art. 5º do Regulamento de Fiscalização (Resolução CD/ANPD 1/21), especialmente diante da ausência de cumprimento deveres, pelo agente regulado, durante a fiscalização.
A empresa em questão pode recorrer da decisão administrativa ou poderá deixar de exercer seu direito de recurso, situação que ela contará com o benefício de redução de 25% no valor total das multas aplicadas - o que resultaria no montante de R$ 10,8 mil, ao invés dos R$ 14,4 mil totais. A ANPD, por sua vez, não disponibiliza todas as informações relacionadas ao processo administrativo envolvendo a empresa autuada e multada. Segundo o despacho publicado, é possível verificar algumas orientações da ANPD nesse processo administrativo, as quais servirão - em potencial - para futuros casos envolvendo empresas no Brasil dentro das atividades fiscalizatórias e sancionatórias pela Autoridade.
Primeiramente, a sanções aplicadas à empresa de telemarketing inauguram o conjunto de decisões da ANPD resultando em imposição de sanções e multas da LGPD, passíveis de serem aplicadas desde agosto de 2022. A ANPD deve - é uma expectativa - avançar em outros processos administrativos sancionatórios instaurados por sua Coordenação-Geral de Fiscalização, contribuindo com construção de um repertório de casos que se somam à experiência internacional de autoridades nacionais de proteção de dados de outros países (como as Autoridades argentina, a BfDI alemã, a CNIL francesa, AEPD espanhola e ICO do Reino Unido). Trata-se de uma atuação a escrutinar ou controlar também outras práticas e irregularidades levadas a cabo por agentes de tratamento de diversos portes no Brasil.
Da mesma forma, as multas combinadas traduzem a resposta da ANPD sobre condutas de violação à LGPD que foram apuradas no conjunto e contexto. Tecnicamente, a ausência de base legal de tratamento, a inexistência de registros de operações de tratamento de dados pelo agente (infringindo positivamente a obrigação legal contida no art.37 da LGPD), e não submissão de um Relatório de Impacto à Proteção de Dados Pessoais - RIPD (art. 38, LGPD) compõem o conjunto de violações decisivas para a delimitação do resultado sancionatório e dosimetria na aplicação das sanções pela ANPD nesse processo. Esse aspecto demonstra que a Autoridade está inclinada a considerar essas violações como base para imposição de multas, pelo maior peso sancionador.
A ausência de um encarregado de dados pessoais (DPO), por sua vez, é capaz de fazer verificar uma situação de inconformidade das práticas do agente de tratamento em relação às obrigações da Lei. Isso porque a obrigação de indicação de um encarregado vincula o agente de tratamento a divulgar publicamente, de forma clara e objetiva, preferencialmente em seu sítio eletrônico, as informações de identidade e de contato da pessoa tida como DPO (art. 41, LGPD). O encarregado, segundo a LGPD, é a "pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados". Aqui, no entanto, considerados inclusive o porte e a natureza da atividade econômica realizada pela empresa sancionada no setor de telemarketing - a ANPD confere uma oportunidade de revisão e correção da prática irregular pela empresa sancionada em virtude do caráter também preventivo e educativo da sanção de advertência, em contraposição à multa.
O recado não pode ser desprezado por diferentes setores da indústria, especialmente de médio e grande porte, que há meses encontram dificuldades em admitir a necessidade de revisar suas práticas de adequação à LGPD no Brasil. Ainda encaram as obrigações relativas à proteção de dados pessoais como ônus, despesas, sem se darem conta de que boas práticas e um regime de governança de privacidade e proteção de dados há tempos são exigências do comércio internacional, da proteção efetiva de direitos fundamentais de titulares de dados, consumidores, pacientes, cidadãos. Mais recentemente boas práticas e governança de privacidade de dados passaram a componentes para atendimento das metas previstas nos Objetivos de Desenvolvimento Sustentável (ODSs), com os quais o Brasil também está comprometido. Nada mais é do que o velho apelo para que nosso país definitivamente venha a ter o mesmo destaque que seus pares na construção de um robusto regime de proteção de dados pessoais. Essa é tarefa para o momento.
Fabrício Bertini Pasquot Polido
Advogado, professor associado de Direito Internacional, Direito Comparado e Novas Tecnologias da Faculdade de Direito da UFMG, doutor em Direito Internacional pela USP e sócio das áreas de Inovação & Tecnologia e Solução de Disputas de L.O. Baptista.