Autor: Prof. Dr. Cláudio Pessoa
Na última semana tivemos a oportunidade de acompanhar uma notícia publicada pela ANPD (Autoridade Nacional de Proteção de Dados Pessoais) relativa à primeira multa aplicada no Brasil a uma empresa, por descumprimento da lei 13.709/18 ( a Lei Geral de Proteção de Dados Pessoais). A multa foi aplicada em uma microempresa, da área de telecomunicações, que segundo a ANPD, recebeu uma denuncia que a citada empresa distribuía dados pessoais via a ferramenta WhatsApp.
No despacho publicado no dia 06/07/2023 no Diário Oficial da União, foram aplicadas as seguintes sanções:
1.1 ADVERTÊNCIA, sem imposição de medidas corretivas, por infração ao art. 41 da LGPD; e 1.2. MULTA SIMPLES, nos valores de R$ 7.200,00 (sete mil e duzentos reais) por infração ao art. 7º da LGPD e de R$ 7.200,00 (sete mil e duzentos reais) por infração ao art. 5º do Regulamento de Fiscalização, totalizando R$ 14.400,00 (catorze mil e quatrocentos reais). (Diário Oficial da União, in verbis)
Analisando as sanções, vale deixar claro alguns pontos elencados:
- Advertência por infração ao artigo 41 da LGPD, que reza: “O controlador deverá indicar encarregado pelo tratamento de dados pessoais”.
Interessante dessa primeira advertência é ver alguns profissionais atacarem a sanção por defenderem que a ANPD havia, através da RESOLUÇÃO CD/ANPD Nº 2, DE 27 DE JANEIRO DE 2022, dispensado às micro e pequenas empresas de apresentarem um encarregado de dados pessoais. Isso é fato. Porém, como em muitas coisas que vemos em nosso país, infelizmente, as normas e regras são interpretadas sempre para uma “ética conveniente”, onde tenta-se abrir brechas para beneficiar o infrator. Se fosse colocado em pauta o que vem junto na mesma resolução, esse tipo de ação se evidencia. A saber:
Art. 11. Os agentes de tratamento de pequeno porte não são obrigados a indicar o encarregado pelo tratamento de dados pessoais exigido no art. 41 da LGPD.
§ 1º O agente de tratamento de pequeno porte que não indicar um encarregado deve disponibilizar um canal de comunicação com o titular de dados para atender o disposto no art. 41, § 2º, I da LGPD.
§ 2º A indicação de encarregado por parte dos agentes de tratamento de pequeno porte será considerada política de boas práticas e governança para fins do disposto no art. 52, §1º, IX da LGPD.
Fica muito claro na resolução que o fato de não ter a obrigatoriedade de indicar o Encarregado, que poderia, a princípio, parecer uma coisa boa para a empresa, torna-se um problema, uma vez que isso não dispensa as empresas do cumprimento das demais obrigações da lei, como pode-se ver também nos artigos abaixo da mesma resolução.
Art. 5º Caberá ao agente de tratamento de pequeno porte, quando solicitado pela ANPD, comprovar que se enquadra nas disposições do art. 2º e do art. 3º deste regulamento em até quinze dias.
Art. 6º A dispensa ou flexibilização das obrigações dispostas neste regulamento não isenta os agentes de tratamento de pequeno porte do cumprimento dos demais dispositivos da LGPD, inclusive das bases legais e dos princípios, de outras disposições legais, regulamentares e contratuais relativas à proteção de dados pessoais, bem como direitos dos titulares.
Art. 7º Os agentes de tratamento de pequeno porte devem disponibilizar informações sobre o tratamento de dados pessoais e atender às requisições dos titulares em conformidade com o disposto nos arts. 9º e 18 da LGPD, por meio:
I – eletrônico;
II – impresso; ou
III – qualquer outro que assegure os direitos previstos na LGPD e o acesso facilitado às informações pelos titulares.
A indicação do encarregado demonstra para a ANPD, e para sociedade em geral, a boa fé da empresa em relação ao tratamento de dados pessoais (parágrafo 2 do artigo 11 da resolução) e, é impreterível, uma vez que a empresa deverá ter um profissional que saiba implantar as medidas de segurança necessárias e avaliar os riscos existentes no tratamento dos dados pessoais em questão.
Portanto essa advertência é um aviso àquelas empresas (empresários) que insistirem em não contratar e/ou indicar o encarregado (DPO) alegando a resolução em tela.
- Multas aplicadas: As multas são relativas aos artigos 7 da LGPD, onde define-se as hipóteses legais para tratamento de dados pessoais; e artigo 5 do regulamento da fiscalização da ANPD, cujo conteúdo segue abaixo:
“Art. 5º Os agentes regulados submetem-se à fiscalização da ANPD e têm os seguintes deveres, dentre outros:
I – fornecer cópia de documentos, físicos ou digitais, dados e informações relevantes para a avaliação das atividades de tratamento de dados pessoais, no prazo, local, formato e demais condições estabelecidas pela ANPD; II – permitir o acesso às instalações, equipamentos, aplicativos, facilidades, sistemas, ferramentas e recursos tecnológicos, documentos, dados e informações de natureza técnica, operacional e outras relevantes para a avaliação das atividades de tratamento de dados pessoais, em seu poder ou em poder de terceiros; III – possibilitar que a ANPD tenha conhecimento dos sistemas de informação utilizados para tratamento de dados e informações, bem como de sua rastreabilidade, atualização e substituição, disponibilizando os dados e as informações oriundos destes instrumentos; IV – submeter-se a auditorias realizadas ou determinadas pela ANPD; V – manter os documentos físicos ou digitais, os dados e as informações durante os prazos estabelecidos na legislação e em regulamentação específica, bem como durante todo o prazo de tramitação de processos administrativos nos quais sejam necessários; e VI – disponibilizar, sempre que requisitado, representante apto a oferecer suporte à atuação da ANPD, com conhecimento e autonomia para prestar dados, informações e outros aspectos relativos a seu objeto. Relatório 1/2023 de Instrução (4232669) SEI 00261.000489/2022-62 / pg. 9 § 1º Os documentos, dados e as informações requisitados, recebidos, obtidos e acessados pela ANPD nos termos deste Regulamento são aqueles necessários ao exercício efetivo das suas atribuições, bem como aqueles sujeitos às regras de acesso e classificação de sigilo previstas em regulamentação específica. § 2º Cabe ao agente regulado solicitar à ANPD o sigilo de informações relativas à sua atividade empresarial, como dados e informações técnicas, econômico-financeiras, contábeis, operacionais, cuja divulgação possa representar violação a segredo comercial ou a industrial. § 3º Os documentos apresentados sob a forma digitalizada deverão cumprir os requisitos estabelecidos pelo Decreto nº 10.278, de 18 de março de 2020. § 4º O agente regulado, por intermédio de representante indicado, poderá acompanhar a auditoria da ANPD, ressalvados os casos em que a prévia notificação ou o acompanhamento presencial sejam incompatíveis com a natureza da apuração ou em que o sigilo seja necessário para garantir a sua eficácia. Art. 6º O não cumprimento dos deveres estabelecidos no art. 5º poderá caracterizar obstrução à atividade de fiscalização, sujeitando o infrator a medidas repressivas, sem prejuízo da adoção das medidas necessárias com o objetivo de concluir a ação de fiscalização obstruída por parte da ANPD.” (Regulamento de Fiscalização da ANPD, artigo 5º – in verbis)
As multas aplicadas, referem-se ao não atendimento dos requisitos elencados nos artigos citados acima e reforçam o que foi dito anteriormente em relação às empresas não contratarem, ou indicarem profissionais aptos a liderarem as mesmas no sentido da conformidade à LGPD. É de suma importância salientar que estar em conformidade com a LGPD é também estar em conformidade com as normas de segurança da informação e privacidade de dados, em especial as normas ISO/ABNT 27.001 e ISO/ABNT 27.701.
Isso fica ainda mais evidente ao analisar o guia de segurança da informação para agentes de pequeno porte publicado pela ANPD, em especial nas cláusulas abaixo.
22. Essa política (de segurança da informação) pode ser endereçada por organizações de qualquer porte e compreende uma boa prática para a gestão da segurança. Muito embora não seja obrigatória, a elaboração dessa política e sua implementação são incentivadas pela ANPD aos agentes de tratamento de pequeno porte porque evidenciam boa-fé e diligência na segurança dos dados pessoais sob sua custódia e fornecem as diretrizes para a gestão da segurança da informação.
26. Assim, sugere-se que os agentes de tratamento de pequeno porte conscientizem os seus funcionários por meio de treinamentos e campanhas de conscientização sobre suas obrigações e responsabilidades relacionadas ao tratamento de dados pessoais.
31. É indicado que seja realizado o gerenciamento de contratos e aquisições, para atenção à distribuição de funções e responsabilidades entre as partes, com observância à LGPD e ao tratamento adequado dos dados pessoais.
32. No caso de agentes de tratamento de pequeno porte que terceirizam os serviços de TI, recomenda-se que estabeleçam com os fornecedores contratos que incluam, dentre outras, cláusulas de segurança da informação que assegurem a adequada proteção de dados pessoais.
Tudo isso demonstra o quão atrasada estava a empresa que sofreu a sanção. A LGPD entrou em vigor máximo, já incluindo a sua vacatio legis, em 2021. Tempo mais que necessário para as empresas, ao menos iniciarem o seu processo de adequação. O que ficou demonstrado pela decisão não existir.
Pode-se ainda falar que os valores das sanções são baixos para uma empresa. Se lembramos ser uma microempresa, essa realidade não se aplica. É mister dizer que as multas serão aplicadas segundo as regras da LGPD, podendo chegar a 2% do faturamento das empresas. Portanto, já adequado ao seu porte.
Porém, o que mais preocupa não são os valores da multa, mas a reputação da empresa. O nome da empresa citada está publicado pela ANPD e em diversas publicações da área que demonstram o acontecido.
Para você que está lendo esse artigo, ficam algumas perguntas:
- Será que ter o seu nome (empresário) ou de sua empresa em vários noticiários como alguém, ou no caso da empresa – organização, fora da lei é algo interessante? Alguém que não respeita e cumpre suas obrigações legais? A Reputação de seu nome e sua empresa não importam?
- Não será isso bem pior que uma multa simples?
Ao contrário da maioria que, pode ter ficado alegre em ver que a ANPD aplicou uma multa em alguém que descumpre a lei, nós da InfoAction torcemos para que a grande maioria dos empresários desse país pensem de forma diferente. Precisamos, cada vez mais, sermos éticos e respeitar não só a privacidade dos cidadãos, mas todos os seus direitos. E não porque agora é lei, mas por ser essa a regra máxima de boa convivência em uma sociedade avançada.
