Queria comentar sobre um trabalho bem interessante e didático feito pelo escritório Opice Blum Advogados sobre a LGPD, onde eles pegaram como base e referência o Processo da ANPD nº 261.000489/2022-62, agora de março de 2022, contra uma microempresa do setor privado de telecomunicações Telekall Inforservice, onde foram investigadas as condutas de ausência de comprovação de hipótese legal, além da ausência de registro de operações, e o não envio de Relatório de Impacto de Proteção de Dados, assim como a ausência de encarregado de dados pessoais, e o não atendimento à requisição da ANPD. Uma série de problemas que fez com que fossem aplicadas uma série de sanções, agora em junho de 2023.
Antes de detalhar o caso, bom lembrar quais as sanções que podem ser impostas por lei pela Autoridade Nacional de Proteção de Dados (ANPD) às empresas que violam a Lei Geral de Proteção de Dados Pessoais (LGPD).
São basicamente quatro tipos de sanções:
Advertência
A advertência é uma sanção leve que é aplicada em casos de violações menores da LGPD. A advertência pode ser acompanhada de recomendações para que a empresa tome medidas para corrigir a violação.
Multa
A multa é a sanção mais comum que é aplicada pela ANPD em caso de violação da LGPD. O valor da multa pode variar de R$ 2 mil a R$ 50 milhões dependendo da gravidade da violação.
Suspensão parcial ou total do tratamento dos dados
A suspensão parcial ou total do tratamento dos dados é uma sanção que é aplicada em casos de violações graves da LGPD. A suspensão do tratamento dos dados pode causar prejuízos significativos para a empresa, pois ela não poderá mais coletar, utilizar ou compartilhar dados pessoais.
Cancelamento da inscrição do agente de tratamento nos cadastros da ANPD
O cancelamento da inscrição do agente de tratamento nos cadastros da ANPD é a sanção mais grave que pode ser aplicada pela ANPD. O cancelamento da inscrição impede a empresa de realizar qualquer atividade de tratamento de dados pessoais.
Aqui estão alguns exemplos de violações da LGPD que podem resultar em sanções da ANPD:
- Coletar dados pessoais sem o consentimento do titular dos dados.
- Utilizar dados pessoais para fins não autorizados.
- Não fornecer informações sobre o tratamento de dados pessoais aos titulares dos dados.
- Não adotar medidas de segurança para proteger os dados pessoais.
- Violar os direitos dos titulares dos dados.
É importante que as empresas tomem medidas para cumprir a LGPD, a fim de evitar sanções financeiras e outras consequências negativas. Aqui estão algumas dicas para ajudar as empresas a cumprir a LGPD:
- Obtenha o consentimento dos titulares dos dados antes de coletar seus dados pessoais.
- Utilize os dados pessoais apenas para os fins para os quais eles foram coletados.
- Forneça informações sobre o tratamento de dados pessoais aos titulares dos dados.
- Adote medidas de segurança para proteger os dados pessoais.
- Respeite os direitos dos titulares dos dados.
Neste caso específico a empresa cometeu vários erros no caso do vazamento de dados como:
Não obteve o consentimento dos titulares dos dados antes de coletar seus dados pessoais
A empresa coletou dados pessoais dos titulares sem o seu consentimento, o que é uma violação da LGPD.
Utilizou os dados pessoais para fins não autorizados
A empresa utilizou os dados pessoais dos titulares para fins não autorizados, o que é também uma violação da LGPD.
Não forneceu informações sobre o tratamento de dados pessoais aos titulares dos dados
A empresa não forneceu informações sobre o tratamento de dados pessoais aos titulares dos dados, o que é uma violação da LGPD.
- Não adotou medidas de segurança para proteger os dados pessoais.
A empresa não adotou medidas de segurança para proteger os dados pessoais, o que permitiu o vazamento dos dados.
- Violou os direitos dos titulares dos dados.
A empresa violou os direitos dos titulares dos dados ao coletar, utilizar e compartilhar seus dados pessoais sem o seu consentimento.
Os erros cometidos pela empresa no caso do vazamento de dados foram graves e resultaram em sanções da ANPD, que exigiu ainda que a empresa tome medidas para corrigir os erros e evitar que eles aconteçam novamente.
Mas voltando ao caso específico acima, basicamente no aspecto jurídico houveram duas linhas em termos de sanções administrativas:
1) Advertência:
Sem imposição de medidas corretivas, por infração ao art. 41 da LGPD, ainda no Artigo 9º da lei, diz que a ANPD poderá aplicar a sanção de advertência quando: a infração for leve ou média e não caracterizar reincidência específica; ou houver necessidade de imposição de medidas corretivas.
Neste caso entendeu-se como aplicável dado que não há reincidência específica, pois trata-se da primeira infração apurada pela ANPD em relação à empresa; assim como o enquadramento é cumulativo, denota-se que a infração foi classificada como leve ou média pela ANPD.
Aqui o problema foi em relação ao ponto do Artigo 41 que fala que o controlador deverá indicar encarregado pelo tratamento de dados pessoal, o que não foi feito, tão pouco não justificou seu enquadramento enquanto agente de pequeno porte, e também não disponibilizou um canal de comunicação com o titular.
2) Multas Simples:
Ainda houveram duas multas para esta empresa, uma de R$ 7.200 por infração ao artigo 7º da LGPD, que fala das hipóteses em que o tratamento de dados pessoais poderá ser realizado, e outra de mesmo valor por infração ao artigo 5º do Regulamento de Fiscalização, que fala dos deveres que os agentes regulados submetem-se à fiscalização da ANPD.
Pelo artigo 10 fala de que a ANPD aplicará a sanção de multa simples quando: o infrator não tenha atendido às medidas preventivas ou corretivas a ele impostas, dentro dos prazos estabelecidos, quando aplicável, e quando a infração for classificada como grave; ou pela natureza da infração, da atividade de tratamento ou dos dados pessoais, e pelas circunstâncias do caso concreto, não for adequado aplicar outra sanção.
E neste processo houve a apuração dos registros de operações e o não envio de relatório de impacto. Assim, é coerente pressupor que houve a aplicação das medidas preventivas dispostas no artigo 32 do Regulamento de Fiscalização (aviso e solicitação de regularização ou informe), e que o infrator não tenha as atendido para que a ANPD chegasse à conclusão de ausência de hipótese legal.
E também considerando que a não colaboração do agente de tratamento não é compatível com as demais formas de sanção (artigo 52) além de advertência, e esta já não foi aplicada, a próxima sanção adequada seria a de multa simples.
O que aconteceu foi que a empresa não respaldou adequadamente o tratamento de dados pessoais comuns descritas no artigo 5 em uma das hipóteses previstas, e também não atendia aos requisitos legais para sua aplicação das bases legais com requisitos na LGPD como o consentimento ou legítimo interesse.
Ainda recebeu uma multa porque a empresa não cumpriu um ou mais deveres durante a fiscalização, que é de fornecer cópia de documentos, dados e informações relevantes para a avaliação das atividades de tratamento de dados pessoais, assim como permitir o acesso para a avaliação das atividades de tratamento de dados pessoais, e possibilitar que a ANPD tenha conhecimento dos sistemas de informação utilizados para tratamento de dados; assim como submeter-se a auditorias, mantendo os documentos pelo prazo necessário; e disponibilizar representante apto a oferecer suporte à ANPD.
Obviamente que este caso vai servir de referência e alerta para outras empresas não cometerem os mesmos problemas. A decisão da ANPD é um alerta para as empresas que estão coletando, utilizando ou armazenando dados pessoais. As empresas que não cumprirem a LGPD podem ser alvo de sanções pela ANPD.
Podem ter acesso ao documento oficial com as sanções em:
Podem ter acesso ao documento completo do Opice em:
https://opiceblum.com.br/wp-content/uploads/2019/07/infografico-sancao-anpd-06.pdf