ANPD aplica sua 1ª sanção com base na LGPD. O que isso significa?

ANPD aplica sua 1ª sanção com base na LGPD. O que isso significa?

26 jul, 2023 | Conciliação e mediação, Empresas, Opinião, Seu dinheiro, Tecnologia | 0 Comentários

Na edição de 6 de julho de 2023 do Diário Oficial da União, foi publicado o despacho da Coordenação-Geral de Fiscalização da Autoridade Nacional de Proteção de Dados (ANPD), tratando da primeira decisão administrativa brasileira de aplicação de sanção com base na Lei Geral de Proteção de Dados Pessoais (LGPD) — Lei nº 13.709/18.

Sem entrar no mérito das capacidades estruturais da Autoridade para fazer frente às demandas inauguradas pela LGPD e o fato de que apenas essa empresa — como ente privado e agente de pequeno porte- figurava na lista das partes envolvidas em processos sancionatórios, publicada em março deste ano, a decisão traz seus aprendizados. Parece ser oportuna a tarefa dos especialistas de analisar os desdobramentos desse primeiro caso para distintos setores da indústria e observar o horizonte com cautela.

Muito resumidamente, as irregularidades apuradas no processo administrativo foram: (1) ausência de comprovação de base legal de tratamento de dados pessoais; (2) ausência de registro de operações de tratamento de dados (RoPA); (3) não apresentação de Relatório de Impacto à Proteção de Dados Pessoais (RIPD); (4) inexistência de um encarregado de dados (DPO); e, (5) não atendimento a requisições feitas pela ANPD. Considerando a apuração, a ANPD decidiu aplicação de um conjunto de sanções para a empresa de telemarketing: (1) advertência, por infração ao art. 41 da LGPD (ausência ou irregularidade de nomeação de Encarregado de Dados — DPO); (2) multa simples no valor de R$ 7.200,00, por infração ao artigo 7º da LGPD (ausência de base legal de tratamento de dados pessoais); e (3) multa simples no valor de R$ 7.200,00, por infração ao artigo 5º do Regulamento de Fiscalização (Resolução CD/ANPD nº 1/21), especialmente diante da ausência de cumprimento deveres, pelo agente regulado, durante a fiscalização.

Primeiramente, a sanções aplicadas à empresa de telemarketing inauguram o conjunto de decisões da ANPD resultando em imposição de sanções e multas da LGPD, passíveis de serem aplicadas desde agosto de 2022. A Autoridade deve — é uma expectativa — avançar em outros processos administrativos sancionatórios instaurados por sua Coordenação-Geral de Fiscalização, contribuindo com construção de um repertório de casos que se somam à experiência internacional de autoridades nacionais de proteção de dados de outros países (como as autoridades argentina, a BfDI alemã, a CNIL francesa, AEPD espanhola e ICO do Reino Unido). Trata-se de uma atuação a escrutinar ou controlar também outras práticas e irregularidades levadas a cabo por agentes de tratamento de diversos portes no Brasil.

Da mesma forma, as multas combinadas traduzem a resposta da ANPD sobre condutas de violação à LGPD que foram apuradas no conjunto e contexto. Tecnicamente, a ausência de base legal de tratamento, a inexistência de registros de operações de tratamento de dados pelo agente (infringindo positivamente a obrigação legal contida no artigo 37 da LGPD), e não submissão de um Relatório de Impacto à Proteção de Dados Pessoais — RIPD (artigo) compõem o conjunto de violações decisivas para a delimitação do resultado sancionatório e dosimetria na aplicação das sanções pela ANPD nesse processo. Esse aspecto demonstra que a Autoridade está inclinada a considerar essas violações como base para imposição de multas, pelo maior peso sancionador.

A ausência de um encarregado de dados pessoais (DPO), por sua vez, é capaz de fazer verificar uma situação de inconformidade das práticas do agente de tratamento em relação às obrigações da lei. Isso porque a obrigação de indicação de um encarregado vincula o agente de tratamento a divulgar publicamente, de forma clara e objetiva, preferencialmente em seu sítio eletrônico, as informações de identidade e de contato da pessoa tida como DPO (artigo 41, LGPD). O encarregado, segundo a LGPD, é a “pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados”.

Aqui, no entanto, considerados inclusive o porte e a natureza da atividade econômica realizada pela empresa sancionada no setor de telemarketing — a ANPD confere uma oportunidade de revisão e correção da prática irregular pela empresa sancionada em virtude do caráter também preventivo e educativo da sanção de advertência, em contraposição à multa.

O recado não pode ser desprezado por diferentes setores da indústria, especialmente de médio e grande porte, que há meses encontram dificuldades em admitir a necessidade de revisar suas práticas de adequação à LGPD no Brasil.

Ainda encaram as obrigações relativas à proteção de dados pessoais como ônus, despesas, sem se darem conta de que boas práticas e um regime de governança de privacidade e proteção de dados há tempos são exigências do comércio internacional, da proteção efetiva de direitos fundamentais de titulares de dados, consumidores, pacientes, cidadãos.

Mais recentemente boas práticas e governança de privacidade de dados passaram a componentes para atendimento das metas previstas nos Objetivos de Desenvolvimento Sustentável (ODSs), com os quais o Brasil também está comprometido. Nada mais é do que o velho apelo para que nosso país definitivamente venha a ter o mesmo destaque que seus pares na construção de um robusto regime de proteção de dados pessoais. Essa é tarefa para o momento.

Por Fabricio B. Pasquot Polido

Fonte: https://www.conjur.com.br/2023-jul-25/fabricio-polido-anpd-aplica-primeira-sancao-empresa

Postagens relacionadas

wpChatIcon
wpChatIcon