Facebook Linkedin Instagram Youtube Spotify

Publicações

Home » Publicações »
A ANPD aplica sua primeira sanção a uma empresa com base na LGPD. O que isso significa para o Brasil?
  • Notícias, Privacidade e Proteção de Dados

A ANPD aplica sua primeira sanção a uma empresa com base na LGPD. O que isso significa para o Brasil?

Migalhas
22/7/2023

Na edição de 6 de julho de 2023 do Diário Oficial da União foi publicado o despacho da Coordenação-Geral de Fiscalização da Autoridade Nacional de Proteção de Dados – ANPD, tratando da primeira decisão administrativa brasileira de aplicação de sanção com base na Lei Geral de Proteção de Dados Pessoais (lei 13.709/18), a LGPD. A decisão foi adotada no curso de um processo administrativo que apurava indícios de infração à LGPD por parte de uma microempresa atuante no segmento de telemarketing. Simbolicamente, não se trata apenas de uma primeira decisão sancionatória e aplicação de multa em matéria de proteção de dados pessoais no Brasil. Antes, a atuação da ANPD passa a fazer frente ao conjunto das medidas fiscalizatórias e sancionatórias adotadas pelas mais importantes autoridades nacionais de proteção de dados no globo.

Sem entrar no mérito das capacidades estruturais da Autoridade para fazer frente às demandas inauguradas pela LGPD e o fato de que apenas essa empresa – como ente privado e agente de pequeno porte – figurava na lista das partes envolvidas em processos sancionatórios, publicada em março deste ano, a decisão traz seus aprendizados. Parece ser oportuna a tarefa dos especialistas de analisar os desdobramentos desse primeiro caso para distintos setores da indústria e observar o horizonte com cautela.

Muito resumidamente, as irregularidades apuradas no processo administrativo foram: (i) ausência de comprovação de base legal de tratamento de dados pessoais; (ii) ausência de registro de operações de tratamento de dados (RoPA); (iii) não apresentação de Relatório de Impacto à Proteção de Dados Pessoais (RIPD); (iv) inexistência de um encarregado de dados (DPO); e, (v) não atendimento a requisições feitas pela ANPD. Considerando a apuração, a ANPD decidiu aplicação de um conjunto de sanções para a empresa de telemarketing: (i) advertência, por infração ao art. 41 da LGPD (ausência ou irregularidade de nomeação de Encarregado de Dados- DPO); (ii) multa simples no valor de R$ 7.200,00, por infração ao art. 7º da LGPD (ausência de base legal de tratamento de dados pessoais); e (iii) multa simples no valor de R$ 7.200,00, por infração ao art. 5º  do Regulamento de Fiscalização (Resolução CD/ANPD 1/21), especialmente diante da ausência de cumprimento deveres, pelo agente regulado, durante a fiscalização.

A empresa em questão pode recorrer da decisão administrativa ou poderá deixar de exercer seu direito de recurso, situação que ela contará com o benefício de redução de 25% no valor total das multas aplicadas – o que resultaria no montante de R$ 10,8 mil, ao invés dos R$ 14,4 mil totais. A ANPD, por sua vez, não disponibiliza todas as informações relacionadas ao processo administrativo envolvendo a empresa autuada e multada. Segundo o despacho publicado, é possível verificar algumas orientações da ANPD nesse processo administrativo, as quais servirão – em potencial – para futuros casos envolvendo empresas no Brasil dentro das atividades fiscalizatórias e sancionatórias pela Autoridade.

Primeiramente, a sanções aplicadas à empresa de telemarketing inauguram o conjunto de decisões da ANPD resultando em imposição de sanções e multas da LGPD, passíveis de serem aplicadas desde agosto de 2022. A ANPD deve – é uma expectativa – avançar em outros processos administrativos sancionatórios instaurados por sua Coordenação-Geral de Fiscalização, contribuindo com construção de um repertório de casos que se somam à experiência internacional de autoridades nacionais de proteção de dados de outros países (como as Autoridades argentina, a BfDI alemã, a CNIL francesa, AEPD espanhola e ICO do Reino Unido). Trata-se de uma atuação a escrutinar ou controlar também outras práticas e irregularidades levadas a cabo por agentes de tratamento de diversos portes no Brasil.

Da mesma forma, as multas combinadas traduzem a resposta da ANPD sobre condutas de violação à LGPD que foram apuradas no conjunto e contexto. Tecnicamente, a ausência de base legal de tratamento, a inexistência de registros de operações de tratamento de dados pelo agente (infringindo positivamente a obrigação legal contida no art.37 da LGPD), e não submissão de um Relatório de Impacto à Proteção de Dados Pessoais – RIPD (art. 38, LGPD) compõem o conjunto de violações decisivas para a delimitação do resultado sancionatório e dosimetria na aplicação das sanções pela ANPD nesse processo.  Esse aspecto demonstra que a Autoridade está inclinada a considerar essas violações como base para imposição de multas, pelo maior peso sancionador.

A ausência de um encarregado de dados pessoais (DPO), por sua vez, é capaz de fazer verificar uma situação de inconformidade das práticas do agente de tratamento em relação às obrigações da Lei. Isso porque a obrigação de indicação de um encarregado vincula o agente de tratamento a divulgar publicamente, de forma clara e objetiva, preferencialmente em seu sítio eletrônico, as informações de identidade e de contato da pessoa tida como DPO (art. 41, LGPD). O encarregado, segundo a LGPD, é a “pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados”. Aqui, no entanto, considerados inclusive o porte e a natureza da atividade econômica realizada pela empresa sancionada no setor de telemarketing – a ANPD confere uma oportunidade de revisão e correção da prática irregular pela empresa sancionada em virtude do caráter também preventivo e educativo da sanção de advertência, em contraposição à multa.

O recado não pode ser desprezado por diferentes setores da indústria, especialmente de médio e grande porte, que há meses encontram dificuldades em admitir a necessidade de revisar suas práticas de adequação à LGPD no Brasil. Ainda encaram as obrigações relativas à proteção de dados pessoais como ônus, despesas, sem se darem conta de que boas práticas e um regime de governança de privacidade e proteção de dados há tempos são exigências do comércio internacional, da proteção efetiva de direitos fundamentais de titulares de dados, consumidores, pacientes, cidadãos. Mais recentemente boas práticas e governança de privacidade de dados passaram a componentes para atendimento das metas previstas nos Objetivos de Desenvolvimento Sustentável (ODSs), com os quais o Brasil também está comprometido. Nada mais é do que o velho apelo para que nosso país definitivamente venha a ter o mesmo destaque que seus pares na construção de um robusto regime de proteção de dados pessoais. Essa é tarefa para o momento.

Disponível em: https://www.migalhas.com.br/depeso/390388/a-anpd-aplica-sua-primeira-sancao-a-uma-empresa-com-base-na-lgpd

Outras notícias
Projeto de lei que regula IA no Brasil deve ser votado até o fim do mês
Podcast Canaltech 23/4/2024 O Governo brasileiro...
Programa Litígio Zero 2024: aberto novo programa de parcelamento e desconto de dívidas da Receita Federal
19/4/2024 Em março, a Receita Federal do...
PL 2796/2021: avanços e impactos na indústria de jogos eletrônicos brasileira
5/4/2024 Recentemente, o Senado Federal aprovou...
Atividades envolvendo células germinativas, tecidos germinativos e embriões humanos ganham parâmetros normativos
1/4/2024 A Agência Nacional de Vigilância...
Entrevistas de emprego: como garantir um recrutamento ético, legal e responsável?
4/4/2024 O processo de entrevista é...
Uso da inteligência artificial na arbitragem
10/4/2024 A inteligência artificial vem ganhando...
Tags
Categorias

Avenida Paulista, 1294  – 8º andar

São Paulo  |  SP  |  Brasil | 01310-100

+ 55 11 3147 0800

[email protected] 

L.O. Baptista Advogados 2019 – Todos os direitos reservados. Por   |  Aviso de Privacidade | Termos de Uso | Política de Compliance