Recentemente, no dia 6 de julho, a Autoridade Nacional de Proteção de Dados – ANPD aplicou a primeira multa em uma empresa do setor de telemarketing por infração à Lei Geral de Proteção de Dados Pessoais – LGPD. O valor da sanção foi de R$ 14.000,00.
Quais os motivos que levaram a aplicação da multa?
Primeiro, a empresa foi multada por não ter respaldo legal para o tratamento dos dados pessoais.
Cabia à empresa comprovar através de uma das bases legais previstas na LGPD, que o tratamento dos dados pessoais estava em conformidade com a lei.
Ainda, a empresa deixou de apresentar um registro das operações de tratamento, documento necessário para demonstrar quais dados foram utilizados e para qual finalidade. Ainda, faltou um relatório de impacto para o tratamento (RIPD), documento relevante para demonstrar que a empresa passou por um processo de adequação à LGPD, através do qual é possível verificar o risco no tratamento dos dados pessoais.
A empresa também não indicou um encarregado de proteção de dados da empresa, o qual, além de ser o responsável pelos pontos anteriores, é a pessoa que a autoridade procura quando ocorre uma violação de dados pessoais, sendo canal de comunicação entre a ANPD, empresa e titular dos dados pessoais.
Em suma, a empresa não enviou para ANPD a documentação capaz de comprovar que está adequada à LGPD.
Ao que se tem notícias, essa pergunta a empresa também não foi capaz de responder, já que em seu site comercializava uma lista de eleitores da cidade de Ubatuba, mas quando a autoridade (ANPD) solicitou a origem destes dados, a empresa não soube justificar a procedência.
A empresa foi advertida por não ter nomeado um DPO, na LGPD chamado de encarregado de proteção de dados, que além de ser o responsável pelo tratamento dos dados pessoais, é quem acompanha todo o processo de adequação à lei e faz a gestão da privacidade e proteção dos dados na empresa, orienta os colaboradores sobre as melhores práticas no tratamento dos dados pessoais.
No entanto, a maior surpresa se deu ao fato de a multa ser aplicada a uma empresa pequena, contrariando a expectativa do mercado de que as primeiras multas seriam aplicadas nas grandes organizações.
Sem contar que a LGPD estabeleceu regras que as empresas de pequeno porte teriam condições especiais na normatização da LGPD – isto foi feito pela autoridade de proteção de dados na regulamentação da aplicação da LGPD para empresas de pequeno porte.
Entretanto, apesar de a empresa multada ser pequena, lidava com grandes volumes de dados pessoais. Logo, a flexibilização da lei não foi aplicável.
Embora a LGPD tenha entrado em vigor em 2020 e a dosimetria das sanções ter sido publicada em 2023, no caso a denúncia foi feita em 2020, o que mostra o efeito retroativo das sanções.
Ou seja, ainda que a denúncia seja antes da publicação da dosimetria ou das outras normas da ANPD, as sanções podem ser aplicadas, o que impulsiona a necessidade de adequação das empresas à LGPD o quanto antes.
Segundo a publicação da multa pelo Diário Oficial da União (DOU), existe a previsão de um abatimento: “Caso o autuado resolva, de acordo com o disposto no art. 18 do Regulamento de Fiscalização, renunciar expressamente ao direito de recorrer da decisão de primeira instância, fará jus a um fator de redução de 25% no valor da multa aplicada, desde que faça o recolhimento no prazo para pagamento definido no caput do art. 17 do Regulamento de Fiscalização, 20 (vinte) dias úteis, totalizando nestas circunstâncias o montante de R$ 10.800,00 (dez mil e oitocentos reais)”.
Por essas e outras questões é importante que as empresas estejam preparadas e prontas para tratarem as crises, principalmente quando envolvem dados pessoais dos clientes ou colaboradores. É por isso que a LGPD exige que as empresas tenham o encarregado de proteção de dados (art. 41), profissional responsável pelas orientações quanto as práticas necessárias para o cumprimento da LGPD.
Sua empresa precisa SE ADEQUAR À LGPD?
O escritório Noronha & Nogueira Advogados, auxilia empresas na iniciação ou na adequação dos projetos para a LGPD, dentro dos requisitos exigidos pela lei bem como, nos processos de compliance trabalhista.
Melissa Noronha Marques de Souza é sócia no escritório Noronha e Nogueira Advogados.
Pós-graduada em Direito e Processo do Trabalho pela Universidade Mackenzie e em Coaching Jurídico pela Faculdade Unyleya
Com formação em Professional & Self Coaching, Business and Executive Coaching e Analista Comportamental pelo Instituto Brasileiro de Coaching – IBC.
É membro efetivo da Comissão Especial de Advocacia Trabalhista da OAB/SP.
É membro efetivo da Comissão Especial de Privacidade e Proteção de Dados da OAB/SP.