Conheça o caso da primeira empresa multada na LGPD pela Autoridade Nacional
No último dia 6 de junho, a Autoridade Nacional de Proteção de Dados (ANPD) aplicou a primeira multa em uma pequena empresa do setor de telemarketing por não cumprir a Lei Geral de Proteção de Dados Pessoais (LGPD) e o Regulamento de Fiscalização da Autoridade, totalizando a sanção em R$ 14.000,00. Veremos abaixo os motivos da multa e se ela poderia ter sido evitada, bem como detalhes curiosos a respeito da tão aguardada primeira autuação da ANPD.
Por que a empresa foi multada?
A empresa foi multada, em primeiro lugar, por falta de respaldo legal para o tratamento: a empresa deveria ter comprovado através de uma das hipóteses legais contidas na LGPD, que o tratamento era legal. Faltou também um registro das operações de tratamento, documentação necessária para que se pudesse saber quais dados foram utilizados e para qual finalidade. Faltou também um relatório de impacto para o tratamento, documento feito pelo encarregado de proteção de dados ou, como é conhecido na Europa, Data Protection Officer (DPO), para verificar o risco no tratamento dos dados pessoais. Faltou também a indicação de um encarregado de proteção de dados da empresa, o qual, além de ser o responsável pelos itens anteriores, é também a pessoa que a autoridade procura quando ocorre uma violação de dados pessoais. Por fim, ainda faltou também o envio de toda a documentação para a ANPD, informação esta que um DPO capacitado saberia como fazer.,
De onde vieram os dados obtidos pela empresa?
Esta pergunta a empresa não soube responder, já que em seu site ela comercializava uma lista de eleitores da cidade de Ubatuba, mas quando a autoridade solicitou a origem destes dados, a empresa não soube justificar sua procedência.
Motivo da Advertência?
A empresa foi advertida por não ter nomeado um DPO, na LGPD chamado de encarregado de proteção de dados, que além de ser o responsável pelo tratamento dos dados pessoais, que acompanha todo o processo de adequação à lei e gestão da privacidade na empresa, orienta os funcionários da empresa sobre as melhores práticas no manuseio dos dados pessoais.
Maior surpresa causada pela multa?
A multa foi entregue a uma empresa pequena, contrariando a expectativa do mercado de que as primeiras multas seriam entregues para as grandes empresas, sem contar que a LGPD previu que as empresas de pequeno porte teriam condições especiais na normatização da LGPD – isto foi feito pela autoridade de proteção de dados na regulamentação da aplicação da LGPD para empresas de pequeno porte. Entretanto, mesmo a empresa multada sendo pequena, ela lidava com grandes volumes de dados pessoais. Logo, a flexibilização da lei não foi aplicável.
Efeito retroativo
Um detalhe muito importante sobre o caso foi o efeito ex tunc da medida, ou seja, embora a LGPD tenha entrado em vigor em 2020, e a dosimetria das sanções sair agora em 2023, a denúncia foi feita em 2020, mostrando o efeito retroativo das sanções. Para Thiago Rosa, bacharel em Direito e Diretor da Associação Nacional dos Profissionais de Privacidade de Dados (ANPPD), “a retroatividade das sanções impulsiona a necessidade da adequação o quanto antes das empresas à LGPD, já que qualquer denúncia, mesmo sendo antes da dosimetria ou das outras normatizações da ANPD, pode acarretar em sanções ou outras consequências através da LGPD”.
Pode haver um abatimento na multa?
Segundo a publicação da multa pelo Diário Oficial da União (DOU), existe a previsão de um abatimento: “Caso o autuado resolva, de acordo com o disposto no art. 18 do Regulamento de Fiscalização, renunciar expressamente ao direito de recorrer da decisão de primeira instância, fará jus a um fator de redução de 25% no valor da multa aplicada, desde que faça o recolhimento no prazo para pagamento definido no caput do art. 17 do Regulamento de Fiscalização, 20 (vinte) dias úteis, totalizando nestas circunstâncias o montante de R$ 10.800,00 (dez mil e oitocentos reais)”. Mecanismos assim vemos nas multas de trânsito, nas quais são oferecidas um desconto da multa para o infrator pagar no prazo estipulado e não recorrer.
Segundo Paulo Emerson, Vice-Diretor no Comitê Público da ANPPD e representante da regional no Distrito Federal, após reunião da Regional de Brasília da ANPPD na qual a multa aplicada pela ANPD foi debatida, “devemos também destacar que toda as organizações possuem responsabilidades sociais e objetivas”. “Conforme o artigo 1ª da LGPD, todos os titulares de dados, conforme a sua colocação social e organizacional, deve zelar pelos princípios da CRFB, da inviolabilidade, do sigilo, dos royalties, marcas, patentes, propriedade industrial, propriedade intelectual, e dos valores que as atividades de Segurança, Informação, Proteção, Privacidade, e Continuidade de Negócios devem estar atentos e mitigar os riscos de vulnerabilidades e vazamentos”, acrescenta. Para José Lopes Ramos, perito forense e representante da regional do Rio de Janeiro da ANPPD, “uma mensagem direta e objetiva emitida pela ANPD é a de que a proteção de dados pessoais é uma prioridade e deve ser tratada com cuidado e responsabilidade em todos os níveis de negócio no nosso país, seja ele público ou privado”.
Vale salientar que conforme o artigo 52, as multas na LGPD podem chegar a até R$ 50 milhões de reais, fora outras punições, como, por exemplo, multa diária, publicização da infração, bloqueio ou até eliminação dos dados pessoais envolvidos, suspenção parcial por até seis meses do banco de dados envolvido e proibição parcial ou total do exercício de atividades relacionadas a tratamento de dados pessoais. Essas medidas são aplicáveis a todos os tipos de empresas (pequenas, médias e de grande porte), além de também do benefício de seguir a LGPD garante maior proteção contra-ataques hackers, que com as invasões nos computadores, pode prejudicar diretamente a reputação das empresas.
Para o Dr. José Milagre, Ph.D e especialista em investigação computacional, a primeira multa da LGPD exemplificou a importância de as empresas conduzirem uma auditoria prévia, testes de vulnerabilidades, testes de invasão (pentest), e verificar se os processos das instituições são desenhados para permitir investigações futuras se necessárias. Se a empresa tivesse tomado esse cuidado preventivo, as não-conformidades com a LGPD seriam identificadas e corrigidas, e logo, a multa não seria aplicada. Quer saber mais? Confira a miniaula exclusiva “As 10 Lições Aprendidas com a 1ª Multa da LGPD pela ANPD” publicadas em meu perfil do Instagram.
Por essas e outras questões é importante que as empresas tenham equipes preparadas e prontas para tratarem as crises, principalmente quando envolvem segredos e dados pessoais dos clientes ou funcionários. É por isso que a LGPD exige que as empresas tenham o encarregado de proteção de dados (art. 41), novo profissional responsável pelas orientações quanto as práticas necessárias para o cumprimento da LGPD. Veja aqui quem são os profissionais de Privacidade de Dados disponíveis em seu Estado e aprovados pela Associação Nacional dos Profissionais de Privacidade de Dados (ANPPD). Quer se aprofundar no assunto, tem alguma dúvida, comentário ou quer compartilhar sua experiência nesse tema? Escreva para mim no Instagram: @davisalvesphd.
