No último dia 06/07, foi publicada no Diário Oficial da União, pela Coordenação Geral de Fiscalização da Autoridade Nacional de Proteção de Dados (CGF/ANPD), decisão proferida no Processo Administrativo nº 00261.000040/2021-13 que resultou na primeira aplicação de sanções por ofensa à Lei Geral de Proteção de Dados Pessoais (LGPD) no Brasil.
A notícia rapidamente tomou conta dos canais de comunicação, especialmente aqueles voltados aos serviços de comunicação e tecnologia, deixando apreensivas muitas empresas de pequeno e médio portes, controladoras e operadoras de dados pessoais.
Há muito, vimos alertando para a urgente necessidade de as empresas se adequarem ao novo regramento estabelecido pela Lei Geral de Proteção de Dados Pessoais (LGPD) – que entrou em vigor em 2020 – revendo seus processos internos e estabelecendo medidas aptas a garantirem o correto tratamento de dados pessoais, além de manter registros de todas as operações de tratamento que executam. Esta é uma adaptação necessária e urgente, e a decisão da ANPD só vem reforçar isto.
– Síntese do Processo Administrativo que resultou na aplicação das penalidades:
Inicialmente, é importante destacar que o processo administrativo que resultou na penalização da TELEKALL INFOSERVICE foi iniciado em razão do recebimento, pela Autoridade Nacional de Proteção de Dados (ANPD), de Ofício do Ministério Público do Estado de São Paulo – Promotoria de Justiça de Ubatuba, noticiando a existência de fortes indícios de oferta, pela referida empresa, de uma listagem de contatos de telefone/WhatsApp de titularidade de eleitores para fins de disseminação de material de campanha eleitoral relativamente à eleição municipal de 2020, em Ubatuba/SP.
Em razão disto, a empresa foi notificada para apresentar informações e esclarecimentos sobre o tratamento dos dados envolvido em suas atividades, tais como: a) Qual o Encarregado pelo Tratamento de Dados Pessoais indicado por essa empresa para se comunicar com ANPD e quais são as informações de contato com o Encarregado, como obriga a Lei Geral de Proteção de Dados Pessoais (LGPD)? b) Qual a origem dos dados que essa empresa oferece para disparar mensagens de whatsapp, conforme consta abertamente do site dessa empresa? Ou seja, de onde essa empresa pega ou acessa os dados para disparar as mensagens? Fornecer detalhadamente os dados de identificação e de contato com seu fornecedor desses dados pessoais. c) Como é montada a base de dados que serve de objeto para o serviço oferecido no sítio eletrônico da empresa? d) Quais os dados que fazem parte do banco de dados disponibilizado para seus clientes? e) Quantos registros possui atualmente em seu banco de dados?
Diante da ausência de resposta da empresa notificada, foi instaurado o Processo Administrativo Sancionador, com a emissão do Auto de Infração, com a seguinte fundamentação:
Descrição da Infração: Oferta aos candidatos às eleições municipais de uma listagem de contatos de WhatsApp de eleitores de Ubatuba/SP para fins de disseminação de material de campanha eleitoral sem hipótese de tratamento; ausência de comprovação de registro das operações de tratamento de dados pessoais; ausência de envio do relatório de impacto à proteção de dados pessoais referente a suas operações de tratamento; falta de comprovação da indicação de encarregado. – Dispositivo(s) Legal(is) e Regulamentar(es) Infringido(s): a) Lei Geral de Proteção de Dados: Art. 7 e Art. 11 – ausência de comprovação de hipótese legal de tratamento de dados pessoais; Art. 37 – ausência de comprovação de registro das operações de tratamento de dados pessoais; Art. 38 – ausência de envio do relatório de impacto à proteção de dados pessoais referente a suas operações de tratamento; Art. 41 – falta de comprovação da indicação do encarregado.
Durante o Processo Administrativo, não foram identificadas pela ANPD hipóteses de tratamento que pudessem respaldar a atividade comercial da Telekall nos moldes em que era desenvolvida, tendo a empresa autuada se limitado a dizer, em sua defesa, que, embora tenha feito contato com alguns candidatos às eleições municipais, nenhum negócio foi aperfeiçoado e nenhuma lista de contatos foi efetivamente enviada, sem explicar como era realizado o tratamento dos dados que esteva oferecendo em seu site.
Encerrada a instrução, a ANPD concluiu, então, que o tratamento de dados pessoais denunciado estava ocorrendo sem respaldo legal, tendo a empresa infringido os arts. 7º (fundamentos para o tratamento de dados) e o 41 (indicação do Encarregado) da LGPD, além do art. 5º do Regulamento de Fiscalização da ANPD.
Para a infração ao art. 7º da LGPD e ao art. 5º do Regulamento de Fiscalização, foram aplicadas sanções de multa simples. Por se tratar de uma microempresa, o valor para cada infração ficou limitado a 2% do seu faturamento bruto, conforme art. 52, II, da LGPD, totalizando uma multa de R$14.400,00 (quatorze mil e quatrocentos reais).
O descumprimento ao art. 41 da Lei resultou em sanção de advertência, considerando que a empresa autuada, embora seja uma microempresa, não produziu as provas aptas a afastar a exigência de nomeação do Encarregado de Dados.
Ainda cabe recurso da decisão. E a conduta da empresa multada ainda é objeto de procedimentos criminais, em apuração pela Polícia Federal.
Como se vê, não se trata de uma fiscalização de iniciativa da ANPD, eis que foi iniciada a partir de uma “denúncia” do Ministério Público do Estado de São Paulo, motivo porque tal procedimento ainda não revela muito sobre como se darão as fiscalizações realizadas pela Autoridade Nacional, em relação ao cumprimento da LGPD.
No entanto, a aplicação da penalidade, embora de pequeno valor, é bastante simbólica e representa um marco importante na efetiva implementação da LGPD no Brasil.
A expectativa ainda é que as fiscalizações de iniciativa da ANPD recaiam, num primeiro momento, sobre as grandes empresas, que tratam grande volume de dados pessoais e dados sensíveis, como as concessionárias de serviços públicos de energia elétrica e telecomunicações, laboratórios clínicos e operadoras de planos de saúde, por exemplo.
Mas, com a decisão em comento, a ANPD passa a clara mensagem de que a proteção de dados pessoais é uma prioridade e deve ser tratada com responsabilidade e cautela por todos os agentes envolvidos, independentemente do porte e do volume de dados tratados.
Assim, as empresas precisam se conscientizar sobre a importância de adequarem seus processos internos, visando assegurar o cumprimento da legislação, não só para evitar punições e outras consequências administrativas, mas, também e, principalmente, para não perderem a confiança de seus clientes e usuários. Afinal, quem vai fazer ou manter negócios com quem não pode garantir a segurança de seus dados pessoais?
Por Marina Cabral Lima Alves
Advogada e Consultora, da Silva Vitor, Faria & Ribeiro Sociedade de Advogados