Primeira aplicação de multa pela ANPD: o que podemos aprender?

A primeira semana de julho de 2023 foi uma das mais movimentadas no que se refere a proteção de dados pessoais no Brasil, vez que, muito embora a Lei já esteja em vigor há quase 3 anos, foi aplicada a primeira multa pela Autoridade Nacional de Proteção de Dados (ANPD). 

E um dos aspectos mais importantes e surpreendentes foi que, ao contrário do que a maioria dos especialistas esperava, a empresa que sofreu a sanção não foi uma empresa de grande relevância no mercado nacional, tampouco pertencente ao grupo das Big Techs, mas um agente de pequeno porte. 

O objetivo deste artigo é analisar cada infração cometida pela empresa e recomendar ações para que outras empresas não cometam os mesmos erros, além de trazer evidências de posicionamento da ANPD para futuras condenações. 

O caso Telekall

O primeiro caso de multa pela ANPD no Brasil se deu em virtude de algumas infrações cometidas pela empresa Telekall Inforservice, uma microempresa que atua no setor privado como provedora de serviços de telefonia, a qual teria ofertado aos candidatos às eleições municipais uma listagem de contatos de WhatsApp de eleitores de Ubatuba/SP para fins de disseminação de material de campanha eleitoral. 

A ANPD foi provocada mediante ofício do Ministério Público de São Paulo, através da Promotoria de Justiça de Ubatuba, o que demonstra a capilaridade da preocupação com a proteção de dados pessoais nos órgãos fiscalizatórios de diferentes entes federativos. 

Sanções aplicadas

Foi verificado, pela Autoridade, que alguns dispositivos da LGPD foram violados, quais sejam:

1. 1. Art. 7 e Art. 11 – ausência de comprovação de hipótese legal de tratamento de dados pessoais; 
   2. Art. 37 – ausência de comprovação de registro das operações de tratamento de dados pessoais; 
   3. Art. 38 – ausência de envio do relatório de impacto à proteção de dados pessoais referente a suas operações de tratamento; 
   4. Art. 41 – falta de comprovação da indicação do encarregado. 

Além dos dispositivos violados da Legislação, houve ainda ausência de cumprimento do Regulamento do Processo de Fiscalização e do Processo Administrativo Sancionador, uma Resolução da ANPD que regulamenta a fiscalização, publicada em 2021. 

Como a empresa fiscalizada não cumpriu às requisições da Autoridade, foi motivo de aplicação de penalidade. 

Desta forma, ao todo, foram cinco violações às regras de proteção de dados pessoais e privacidade, as quais iremos analisar de forma individualizada. 

Ausência comprovação de hipótese legal de tratamento de dados pessoais (artigos 7 e 11)

Uma das obrigações de qualquer empresa que atue no Brasil, é entender sobre todo o fluxo de atividades de tratamento de dados pessoais e, a partir daí, escolher uma base legal (hipótese de tratamento) para cada atividade exercida. 

A LGPD permite o tratamento de dados em diversas hipóteses, seja para os dados considerados comuns (artigo 7º), seja para os dados sensíveis (artigo 11), esses últimos, dados que possuem um maior potencial de gerar algum prejuízo ao seu titular, e foram explicitamente delimitados pela Lei, quais sejam: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural. 

Nós já escrevemos sobre a escolha das bases legais e a importância de fazer de forma correta, e você pode aprofundar clicando aqui.

Para quem diz que estar adequado à LGPD é evidenciar medidas de segurança simplesmente, foi surpreendido com uma fiscalização de uma necessidade eminentemente regulatória, mais uma evidência de que a nossa Autoridade irá se inspirar nas autoridades estrangeiras, sobretudo como as da Europa. 

A partir da análise do caso é possível perceber que os valores da penalidade foram coerentes, seguindo uma lógica e um padrão que já é amplamente utilizada nos processos sancionadores aplicados pelas autoridades europeias. 

A ANPD ainda foi além da indicação da ausência de base legal e disse, nos fundamentos da decisão do processo fiscalizatório, que: “o art. 7º da LGPD é a espinha dorsal da LGPD, sem o qual não existe fundamento legal para um tratamento legítimo de dados. Em outras palavras, o tratamento de dados sem amparo em pelo menos uma das bases legais do art. 7º da LGPD é uma infração que, isoladamente, possui contornos de maior gravidade uma vez que possui como objeto um dos fundamentos da própria existência da LGPD” (grifos nossos). 

Ao aplicar essa primeira multa a ANPD considerou uma das duas hipóteses. Ou (i) o controlador não respaldou adequadamente o tratamento de dados pessoais em uma das hipóteses previstas no art. 7º da LGPD, ou (ii) a base legal atribuída não atendia os requisitos para a aplicação, tais como os requisitos para a aplicação do consentimento no art. 8º ou os requisitos para o uso do legítimo interesse no art. 10º, ambos também da LGPD. 

Valor da multa em virtude do descumprimento deste item: R$7.200,00 (sete mil e duzentos reais). 

Ausência de registro das operações de tratamento de dados pessoais (artigo 37)

O registro das operações de tratamento de dados pessoais, comumente chamado de “mapeamento de dados”, “data mapping” ou “ROPA (record of processing activities), é um registro de todas as operações de tratamento de dados pessoais que toda empresa deve manter, independente do seu porte, já que a ANPD pode cobrar essas evidências a qualquer momento. 

No processo fiscalizatório em questão, muito embora a ANPD tenha noticiado a ausência do referido documento, como não foi solicitado evidências à empresa, esta não foi penalizada, o que não diminui a importância de ter os registros arquivados, vez que, o documento é essencial para a definição das bases legais, conforme acima visto. 

Percebemos, de qualquer forma, ser imprescindível a elaboração e manutenção do documento atualizado na empresa, para que as bases legais sejam definidas de forma correta. 

Já escrevemos como manter a conformidade da empresa em alguns passos simples, que você pode acessar por aqui.

Ausência de Relatório de Impacto à Proteção de Dados – RIPD (artigo 38)

No que se refere à ausência de envio do RIPD, que é o Relatório de Impacto à Proteção de Dados, é possível pressupor que houve a determinação da demonstração das medidas preventivas do art. 32 do Regulamento de Fiscalização (CD ANPD nº 1) e que a empresa infratora não evidenciou a elaboração dessa modalidade de documento mediante a solicitação da ANPD.Este documento é necessário para que o controlador descreva os processos de tratamento de dados pessoais que possam gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco. 

Falta de comprovação de nomeação do encarregado de dados pessoais (artigo 41)

O Encarregado de Dados, comumente chamado no Brasil de DPO (data protection officer), é a pessoa ou empresa responsável pela governança de dados pessoais dentro de uma organização,bem como a realizar a comunicação com a ANPD e aos titulares de dados pessoais. A Lei exige, no seu artigo 41, que todas as empresas devem nomear um Encarregado, sob pena de descumprimento e ser passível de penalização. 

No caso da primeira multa da ANPD, muito provavelmente a empresa não demonstrou qualquer evidência de que indicou um encarregado de proteção de dados no rigor da LGPD ou de que se adequava aos critérios da Resolução CD/ANPD nº 2, a qual regulamenta o tratamento jurídico diferenciado para agentes de tratamento de pequeno porte. Mesmo que eventualmente tenha indicado algum encarregado, a empresa ainda pode não ter disponibilizado um adequado canal de comunicação com o titular de dados, de forma a se adequar ao§2º, I, do art. 41 da Lei Geral. 

É imprescindível, a nosso ver, independentemente do tamanho da empresa, haver a nomeação de um profissional ou empresa especializada exercendo esta função. Isto porque, nos termos da Lei e da própria fiscalização que ora comentamos, a sua ausência coloca em risco as atividades relacionadas ao tratamento de dados pessoais, ensejando fiscalizações pelo órgão regulador. 

Se sua empresa não possui um encarregado nomeado, pode ser que a opção de DPO as a service seja o mais adequado, ante às várias vantagens existentes nesse formato, podendo ser analisado neste artigo em nosso blog.

Em virtude do descumprimento desta obrigação a empresa fiscalizada, Telekall, foi avertida pela ANPD. 

Não atendimento às requisições da ANPD (artigo 5º do Regulamento de Fiscalização)

A ANPD ainda multou a empresa fiscalizada por não ter atendido aos requerimentos realizados durante o processo fiscalizatório, uma vez que o agente regulado deixou de cumprir o dever de fornecer cópia de documentos, dados e informações relevantes para a avaliação das atividades de tratamento de dados pessoais, no prazo, local, formato e demais condições estabelecidas pela ANPD, uma violação ao artigo 5º do Regulamento de Fiscalização.

Este é um ponto relevante, vez que não basta cumprir e evidenciar, quando necessário, as medidas de conformidade dentro da organização. É preciso responder, a tempo e modo, e de forma correta, aos requerimentos da Autoridade Reguladora, responsabilidade do próprio DPO. 

No que toca à primeira multa aplicada pela ANPD em desfavor da Telekall,  foi demonstrado que o controlador não cumpriu com um ou mais deveres durante o processo fiscalizatório, dentre as quais estão: 

1. 1. Disponibilizar contato com representante da empresa apto para fornecer suporte à ANPD; 
   2. Fornecer acesso a instalações, equipamentos, aplicativos, facilidades, sistemas, ferramentas e recursos tecnológicos, documentos, dados e informações de natureza técnica, operacional e outras relevantes aptas para a avaliação da atividade de tratamento de dados pessoais; 
   3. Possibilitar que a ANPD tenha ciência acerca do funcionamento dos sistemas de informação utilizados para o tratamento de dados, bem como de critérios de rastreabilidade, atualização e substituição; e 
   4. Sujeitar a organização a auditorias realizadas ou determinadas pela ANPD. 

Vimos, portanto, duas penalidades atreladas a uma ausência de nomeação do Encarregado de Dados, uma pela própria ausência e outra pela falta de resposta, ou seja, acaso a empresa houvesse preocupado com a governança de dados, certamente não teria sido penalizada. 

Em virtude desta violação, a empresa foi multada em R$7.200,00 (sete mil e duzentos reais).

Da aplicabilidade das penalidades a um agente de pequeno porte

Muitas empresas e profissionais que atuam com privacidade e proteção de dados ficaram surpresos com as penalidades aplicadas a uma empresa de pequeno porte, contudo, esta não foi uma surpresa para nós, do escritório Camargo e Vieira, vez que havíamos, desde  a publicação da Resolução CD/ANPD nº 2, de janeiro de 2022, alertado para o fato que, embora contenha algumas exceções sobre prazos e formas, não isentava uma empresa à devida adequação.

A Resolução do órgão que trata sobre os agentes de pequeno porte é clara ao dispor sobre a flexibilização de algumas previsões, como, por exemplo, ter um registro de operações de forma simplificada e substituir o DPO por um canal de comunicação com os titulares de dados. 

Contudo, na própria resolução dispõe que “a ANPD poderá determinar ao agente de tratamento de pequeno porte o cumprimento das obrigações dispensadas ou flexibilizadas neste regulamento, considerando as circunstâncias relevantes da situação, tais como a natureza ou o volume das operações, bem como os riscos para os titulares” 

Portanto, acreditar que as pequenas empresas não possuem obrigação de adequar à LGPD está absolutamente descartado, em virtude da análise da primeira multa aplicada, que considerou a necessidade da adequação, diante do contexto analisado. 

Apesar de todas as empresas estarem sob fiscalização da ANPD, vale ressaltar que a forma jurídica e os valores da referida aplicação de multa pela ANPD não são unanimidade, uma vez que a empresa sancionada é na realidade um empresário individual. Isso tem impacto nas sanções aplicáveis em casos de infrações, já que não houve a correta aplicação da tabela de valores destinada para pessoas naturais ou pessoas jurídicas sem faturamento, conforme o Regulamento de Aplicação de Sanções da ANPD. 

Nesse sentido, a jurisprudência de diversas decisões do STJ e de autoridades reguladoras apontam que o empresário individual não é considerado uma pessoa jurídica, mas uma pessoa física que exerce atividade empresarial em seu próprio nome, mesmo havendo CNPJ e nome empresarial. 

Conclusões

Através da análise dos detalhes da decisão da ANPD, publicada em 6 de julho de 2023, na qual houve aplicação de penalidades a uma empresa de pequeno porte que não cumpria alguns requisitos da Lei, podemos concluir que:

1. A LGPD está em pleno vigor, com a ANPD funcionando de forma efetiva e respeitando o devido processo administrativo necessário para aplicação de multa;
2. Empresas que só estão preocupadas com segurança dos dados, serão surpreendidas se não tiver um profissional que entenda bem da aplicação de todas as bases legais;
3. A nomeação de um DPO experiente e qualificado é uma das medidas mais importantes que sua empresa estar em conformidade;
4. Não importa o tamanho, faturamento e tipos de dados tratados, qualquer empresa no Brasil poderá ser fiscalizada e multada perante a ANPD;
5. Para mitigar riscos em de eventuais processos sancionatórios da ANPD, as empresas devem demonstrar proatividade.

Vale lembrar que uma sanção aplicada pela ANPD pode gerar um considerável problema reputacional, o qual deve custar muito mais caro que qualquer eventual multa.

Além do mais, hoje em dia as grandes empresas prezam por contratar com outras empresas que estão demonstrando preocupação com a proteção de dados. Quem não possui boas práticas e evidências de adequação a LGPD sai muito atrás no mercado.

Se sua empresa ainda não começou a adequação, não deixe de buscar uma consultoria especializada, que entenda do seu setor e seja experiente com a solução de DPO as a service, como a equipe do Camargo e Vieira.

Ainda que sua empresa não possa contratar um terceiro para assumir as funções de DPO e seja um agente de pequeno porte, nosso escritório possui uma solução específica para te ajudar na adequação! Clique aqui e conheça a nossa solução de Adequação à LGPD para pequenas empresas.