Na edição de 6 de julho de 2023 do Diário Oficial da União, foi publicado o despacho da Coordenação-Geral de Fiscalização da Autoridade Nacional de Proteção de Dados (ANPD), tratando da primeira decisão administrativa brasileira de aplicação de sanção com base na Lei Geral de Proteção de Dados Pessoais (LGPD) — Lei nº 13.709/18.
A decisão foi adotada no curso de um processo administrativo que apurava indícios de infração à LGPD por parte de uma microempresa atuante no segmento de telemarketing. Simbolicamente, não se trata apenas de uma primeira decisão sancionatória e aplicação de multa em matéria de proteção de dados pessoais no Brasil. Antes, a atuação da ANPD passa a fazer frente ao conjunto das medidas fiscalizatórias e sancionatórias adotadas pelas mais importantes autoridades nacionais de proteção de dados no globo.
Sem entrar no mérito das capacidades estruturais da Autoridade para fazer frente às demandas inauguradas pela LGPD e o fato de que apenas essa empresa — como ente privado e agente de pequeno porte- figurava na lista das partes envolvidas em processos sancionatórios, publicada em março deste ano, a decisão traz seus aprendizados. Parece ser oportuna a tarefa dos especialistas de analisar os desdobramentos desse primeiro caso para distintos setores da indústria e observar o horizonte com cautela.
Muito resumidamente, as irregularidades apuradas no processo administrativo foram: (1) ausência de comprovação de base legal de tratamento de dados pessoais; (2) ausência de registro de operações de tratamento de dados (RoPA); (3) não apresentação de Relatório de Impacto à Proteção de Dados Pessoais (RIPD); (4) inexistência de um encarregado de dados (DPO); e, (5) não atendimento a requisições feitas pela ANPD. Considerando a apuração, a ANPD decidiu aplicação de um conjunto de sanções para a empresa de telemarketing: (1) advertência, por infração ao art. 41 da LGPD (ausência ou irregularidade de nomeação de Encarregado de Dados — DPO); (2) multa simples no valor de R$ 7.200,00, por infração ao artigo 7º da LGPD (ausência de base legal de tratamento de dados pessoais); e (3) multa simples no valor de R$ 7.200,00, por infração ao artigo 5º do Regulamento de Fiscalização (Resolução CD/ANPD nº 1/21), especialmente diante da ausência de cumprimento deveres, pelo agente regulado, durante a fiscalização.
A empresa em questão pode recorrer da decisão administrativa ou poderá deixar de exercer seu direito de recurso, situação que ela contará com o benefício de redução de 25% no valor total das multas aplicadas — o que resultaria no montante de R$ 10.800, ao invés dos R$ 14.400 totais. A ANPD, por sua vez, não disponibiliza todas as informações relacionadas ao processo administrativo envolvendo a empresa autuada e multada. Segundo o despacho publicado, é possível verificar algumas orientações da Autoridade nesse processo administrativo, as quais servirão — em potencial — para futuros casos envolvendo empresas no Brasil dentro das atividades fiscalizatórias e sancionatórias pela autoridade.
Primeiramente, a sanções aplicadas à empresa de telemarketing inauguram o conjunto de decisões da ANPD resultando em imposição de sanções e multas da LGPD, passíveis de serem aplicadas desde agosto de 2022. A Autoridade deve — é uma expectativa — avançar em outros processos administrativos sancionatórios instaurados por sua Coordenação-Geral de Fiscalização, contribuindo com construção de um repertório de casos que se somam à experiência internacional de autoridades nacionais de proteção de dados de outros países (como as autoridades argentina, a BfDI alemã, a CNIL francesa, AEPD espanhola e ICO do Reino Unido). Trata-se de uma atuação a escrutinar ou controlar também outras práticas e irregularidades levadas a cabo por agentes de tratamento de diversos portes no Brasil.
Da mesma forma, as multas combinadas traduzem a resposta da ANPD sobre condutas de violação à LGPD que foram apuradas no conjunto e contexto. Tecnicamente, a ausência de base legal de tratamento, a inexistência de registros de operações de tratamento de dados pelo agente (infringindo positivamente a obrigação legal contida no artigo 37 da LGPD), e não submissão de um Relatório de Impacto à Proteção de Dados Pessoais — RIPD (artigo) compõem o conjunto de violações decisivas para a delimitação do resultado sancionatório e dosimetria na aplicação das sanções pela ANPD nesse processo. Esse aspecto demonstra que a Autoridade está inclinada a considerar essas violações como base para imposição de multas, pelo maior peso sancionador.
A ausência de um encarregado de dados pessoais (DPO), por sua vez, é capaz de fazer verificar uma situação de inconformidade das práticas do agente de tratamento em relação às obrigações da lei. Isso porque a obrigação de indicação de um encarregado vincula o agente de tratamento a divulgar publicamente, de forma clara e objetiva, preferencialmente em seu sítio eletrônico, as informações de identidade e de contato da pessoa tida como DPO (artigo 41, LGPD). O encarregado, segundo a LGPD, é a “pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados”.
Aqui, no entanto, considerados inclusive o porte e a natureza da atividade econômica realizada pela empresa sancionada no setor de telemarketing — a ANPD confere uma oportunidade de revisão e correção da prática irregular pela empresa sancionada em virtude do caráter também preventivo e educativo da sanção de advertência, em contraposição à multa.
O recado não pode ser desprezado por diferentes setores da indústria, especialmente de médio e grande porte, que há meses encontram dificuldades em admitir a necessidade de revisar suas práticas de adequação à LGPD no Brasil.
Ainda encaram as obrigações relativas à proteção de dados pessoais como ônus, despesas, sem se darem conta de que boas práticas e um regime de governança de privacidade e proteção de dados há tempos são exigências do comércio internacional, da proteção efetiva de direitos fundamentais de titulares de dados, consumidores, pacientes, cidadãos.
Mais recentemente boas práticas e governança de privacidade de dados passaram a componentes para atendimento das metas previstas nos Objetivos de Desenvolvimento Sustentável (ODSs), com os quais o Brasil também está comprometido. Nada mais é do que o velho apelo para que nosso país definitivamente venha a ter o mesmo destaque que seus pares na construção de um robusto regime de proteção de dados pessoais. Essa é tarefa para o momento.
Fabricio B. Pasquot Polido é professor associado da Universidade Federal de Minas Gerais (UFMG), doutor em Direito Internacional pela Universidade de São Paulo (USP), sócio das áreas de Inovação & Tecnologia, Privacidade e Proteção de Dados e Solução de Disputas de LO Baptista.