AUTORIDADE NACIONAL DE PROTEÇÃO DE DADOS APLICA PRIMEIRA MULTA POR DESCUMPRIMENTO À LGPD

Foi aplicada, pela primeira vez, a penalidade de multa pela Autoridade Nacional de Proteção de Dados (ANPD), devido ao descumprimento da Lei Geral de Proteção de Dados (LGPD). Após um longo interstício entre a entrada em vigor da lei, o início da eficácia das disposições sancionatórias e a instauração da ANPD, havia muita dúvida acerca da forma de atuação da entidade. Dessa forma, o primeiro exemplo do exercício completo de suas competências ajuda as empresas a entenderem o comportamento da instituição e a traçarem melhor suas expectativas e políticas internas.

No caso em análise, uma microempresa foi sancionada com advertência e multa simples, em razão das seguintes violações à lei: (I) tratamento de dados pessoais sem respaldo legal; (II) falta de comprovação da indicação de um encarregado por esta demanda; e (III) não atendimento aos pedidos das autoridades de fiscalização. O resultado deste processo administrativo sancionador foi a aplicação de multa de R$14.000,00 em face da autuada, limitando-se a apenas 2% do seu faturamento bruto, devido à regra aplicada para as microempresas. Logo, não são valores muito elevados, distantes, portanto, do que se vê na realidade da União Europeia, que já vivencia multas milionárias, em matéria de proteção de dados.

Para que uma entidade trate dados, é necessário realizar o procedimento dentro das hipóteses do rol presente no art. 7º da LGPD. Essa exigência não foi cumprida pela empresa multada. Ao contrário, após o procedimento de fiscalização, foi verificado que o tratamento de dados pessoais não era realizado dentro de nenhuma das alternativas permitidas por lei. Também não foi comprovada a presença de um profissional que responsável pelo tratamento destes dados, conforme determina a LGPD, o chamado DPO.

Além disso, a falta de registro de operações e a negativa em realizar o envio do relatório de impacto (outras exigências da lei) impossibilitaram a comprovação de que a empresa não fazia tratamento de alto risco. Do mesmo modo, a microempresa não atendeu às requisições da autoridade, contrariando o que define o Regulamento de Fiscalização, um normativo editado pela ANPD que também deve pautar a conduta das entidades fiscalizadas. Para a autoridade, a ausência de disposição para contribuir com a resolução do processo agravou a situação da investigada. A iniciativa de cooperar com o órgão fiscalizador poderia ter abrandado a sanção ou facilitado a condução do caso. Enfim, apesar de ter sido apresentada defesa, a Coordenadoria-Geral de Fiscalização (CGF/ANPD) concluiu pela ocorrência das infrações supracitadas e aplicou as respectivas sanções.

A primeira aplicação de multa pela ANPD por descumprimento à LGPD demonstra que o órgão avançou em sua estruturação e está apto a investigar, processar e punir. Para evitar multas e demais penalidades, é essencial que as empresas insiram os temas de tratamento de dados em seus programas de compliance, boas práticas e integridade. Uma boa defesa técnica é sempre recomendável, mas a melhor assessoria é sempre preventiva. Especialmente, em matéria de LGPD, ainda é uma área marcada por muitas incertezas e lacunas, e a combinação de profissionais jurídicos e da tecnologia da informação é essencial para estruturar operações seguras com dados pessoais e conduzir um eventual processo de forma cooperativa com as autoridades.

Maria Alice Fonseca