Na última quinta-feira, 6, a ANPD aplicou a primeira multa administrativa por infração à LGPD. O órgão puniu uma empresa de telemarketing com advertência, sem imposição de medidas corretivas, e multa no total de R$ 14,4 mil. A sanção vem quase três anos depois da aprovação da lei, que ocorreu em setembro de 2020.
A fiscalização foi iniciada a partir de denúncia de que a empresa estaria ofertando uma listagem de contatos de WhatsApp de eleitores para fins de disseminação de material de campanha eleitoral. Os fatos denunciados foram relativos à eleição municipal de 2020, em Ubatuba/SP.
A ANPD verificou que o tratamento de dados pessoais denunciado estava ocorrendo sem respaldo legal. Foi apurada ainda a falta de comprovação da indicação de encarregado pelo tratamento de dados pessoais pela empresa.
Embora seja uma microempresa, a mesma não comprovou que não fazia tratamento de alto risco, condição necessária para excepcionalizar a exigência de designação do encarregado.
Diante dos indícios de infração à LGPD e do não atendimento de determinações da equipe de fiscalização pela empresa, a CGF/ANPD lavrou auto de infração, iniciando o processo administrativo dancionador.
A ANPD concluiu pela ocorrência de infração ao art. 7º e ao art. 41 da LGPD, e art. 5º da resolução CD/ANPD 1/21, aplicando as sanções acima descritas.
Para explicar por que essas situações resultaram nas sanções, Alexandra Krastins Lopes, advogada especialista em Direito Digital do PG Advogados, comenta cada ponto e orienta como empresas devem se comportar para cumprir a legislação e evitar multas.
A advertência, sem imposição de medidas corretivas deu-se pela falta de indicação do encarregado pelo tratamento de dados pessoais, o DPO. Quem deve ser esse profissional e o que ele faz? Por que importa tanto?
A.L.: Este encarregado possui papéis importantíssimos no cumprimento da LGPD. Primeiro, pela obrigação que as organizações públicas e privadas têm em nomeá-lo. É a pessoa responsável por manter a comunicação entre a organização, os titulares de dados e a ANPD.
Além de ser um canal de comunicação, o DPO é quem promove a cultura de proteção de dados internamente, com papel de conscientização e orientação para que a organização atue em conformidade com a legislação. O profissional é uma figura central na execução da legislação, tanto na facilitação do exercício dos direitos dos cidadãos, quanto no auxílio às organizações em como agir dentro das regras, de acordo com as melhores práticas.
Embora a Lei não estabeleça requisitos e a ANPD ainda não tenha regulamentado o tema, é recomendável que o DPO seja um profissional experiente em proteção de dados, independente, imparcial e capaz de cumprir suas funções sem ser influenciado pela organização ou por terceiros. Ele deve estar familiarizado com as maneiras pelas quais a organização trata os dados.
É possível, também, que o DPO seja auxiliado por um comitê interno, de preferência multidisciplinar, para mais capilaridade na sua atuação. Em casos de grandes empresas multinacionais, além de um DPO, muitas vezes é necessário um ponto focal desse encarregado em cada área de negócio.
A escolha de um DPO interno ou externo depende das necessidades e dos recursos da organização. De qualquer forma, sua contratação demonstra o compromisso da empresa com a proteção de dados e a privacidade, o que pode melhorar sua reputação e, claro, evitar sanções.
Já as duas multas – cada uma no valor de R$ 7,2 mil – foram aplicadas por descumprimento dos deveres relativos à fiscalização da ANPD e das hipóteses em que é permitido o tratamento de dados pessoais, conforme a lei. Poderia simplificar, traduzir esses dois pontos para que as empresas entendam melhor os equívocos cometidos neste caso?
A.L.: De fato, o regulamento de fiscalização da ANPD estabelece deveres a serem cumpridos durante um processo de fiscalização, como fornecer informações e documentos à Autoridade, permitir o seu acesso às instalações e sistemas, submeter-se a auditorias e cumprir prazos.
A ANPD possui atuação responsiva, ou seja, com a adoção de medidas proporcionais ao risco identificado e à postura dos agentes regulados. Isso significa que a multa pelo descumprimento dos deveres durante a fiscalização reflete o descompromisso da empresa no decorrer do processo.
A respeito do segundo ponto, a LGPD estabelece várias hipóteses legais em que são permitidos os tratamentos de dados, ou seja: coleta, armazenamento, compartilhamento ou uso de qualquer forma. E as hipóteses legais estão descritas nos artigos 7º e 11 da LGPD. Cada tratamento de dados se encaixa melhor em uma ou outra hipótese legal. E por vezes, as organizações se baseiam em hipóteses inadequadas, por diversos motivos, tais como a facilidade que algumas aparentam ter.
Vou explicar: a hipótese legal do legítimo interesse é comumente utilizada em práticas que sequer deveriam ser realizadas por empresas. Daí a necessidade de uma assessoria jurídica adequada, para que a empresa saiba qual a hipótese legal que embasará o seu tratamento de dados, quais documentos deverá elaborar para que essa hipótese seja legalmente válida, e até os riscos desse tratamento, tanto aos direitos dos titulares quanto em relação à fiscalização.
Quais as principais vulnerabilidades de uma empresa em se tratando de LGPD?
A.L.: Primeiramente, a falta de governança interna dos dados. Um projeto de governança permite à empresa conhecer os seus fluxos de tratamento que envolvem dados pessoais, possibilita enquadrar-se nas hipóteses legais permitidas e elaborar os documentos necessários, tais como avisos e políticas de privacidade ou de cookies.
É importante lembrar que alguns tratamentos de dados deverão ser cessados sim. A LGPD existe não só para criar regras sobre os tratamentos, mas também veda práticas abusivas que continuam sendo praticadas. Por exemplo, compartilhamento de dados indevido entre empresas ou envio de e-mails marketing sem fundamento legal.
Portanto, não basta ter um programa de governança e não alterar suas práticas. É necessária adequação de fato.
Além disso, a falta de concessão dos direitos dos titulares, como o direito de confirmação da existência do tratamento, de acesso, eliminação de dados, entre outros. Operacionalizar esses direitos é um desafio! E certamente uma vulnerabilidade, já que se seus direitos não forem respeitados, os titulares podem fazer reclamações e denúncias aos órgãos de defesa do consumidor e à ANPD.
Para empresas B2B, a vulnerabilidade do momento também está nos contratos. As empresas estão aditando seus contratos para aderência à LGPD, mas é necessária especial atenção, já que nesses aditivos são definidas as responsabilidades das partes, inclusive em casos de fiscalização.
Essa empresa de telecomunicação, que foi multada, ela pode recorrer? Quais os passos que ela deve tomar a partir de agora?
A.L.: Sim, a empresa poderá recorrer em até 10 dias úteis contados da intimação da decisão. Porém, caso opte por não recorrer, terá um desconto de 25% no pagamento (em até 20 dias úteis). A empresa deverá analisar as chances de sucesso em um recurso e a possibilidade do desconto ao deixar de recorrer.
Como a ANPD tem fiscalizado as empresas no País?
A.L.: A ANPD atua sob uma forma responsiva, isso significa que ela faz vistas à condução do agente regulado à conformidade da Lei. Aliás, esta tem sido uma bandeira levantada pela Autoridade, que busca pela conformidade das organizações ao invés da distribuição de multas. Porém, a Lei foi publicada em 2018 e teve sua vigência iniciada em 2020, o tempo de compreender a falta de cumprimento da LGPD certamente já passou.
Já durante a fiscalização, antes mesmo da aplicação das multas, a ANPD publica em seu site listas dos processos em andamento, e ter o nome da organização publicado já é um prejuízo reputacional imenso.
E claro, a fiscalização da ANPD também prevê a atuação repressiva, que inclui as advertências e as multas pecuniárias, como vimos neste caso da empresa de telemarketing. Apesar das discussões sobre o valor das multas, há de se considerar o porte da empresa.
As sanções deste caso dão um recado claro e importante de uma atuação firme da Autoridade, que vinha se estruturando, publicando guias orientativos e dando recomendações, mas começa a mostrar seus dentes.
Qual a principal orientação que você pode dar para a empresa multada e para tantas outras no sentido de prevenção de advertências e multas.
A.L: A orientação é de se adequar imediatamente. Políticas de privacidade vazias não vão prevenir a ocorrência de advertências e multas. Documentos criados sem um mapeamento prévio dos fluxos de dados, a falta de um DPO e de uma cultura organizacional comprometida com a proteção de dados, incluindo a alta gestão, não tem mais espaço.
Em caso de fiscalizações, responder à Autoridade nos prazos determinados é o dever básico de todas as empresas. Por isso, é importante a atuação rápida e devidamente orientada por profissionais especializados, pois as sanções podem ser mitigadas se a organização atender às recomendações durante o processo de fiscalização.