A decisão foi adotada no curso de um processo administrativo que apurava indícios de infração à LGPD por parte de uma microempresa atuante no segmento de telemarketing. Simbolicamente, não se trata apenas de uma primeira decisão sancionatória e aplicação de multa em matéria de proteção de dados pessoais no Brasil. Antes, a atuação da ANPD passa a fazer frente ao conjunto das medidas fiscalizatórias e sancionatórias adotadas pelas mais importantes autoridades nacionais de proteção de dados no globo.

Sem entrar no mérito das capacidades estruturais da Autoridade para fazer frente às demandas inauguradas pela LGPD e o fato de que apenas essa empresa — como ente privado e agente de pequeno porte- figurava na lista das partes envolvidas em processos sancionatórios, publicada em março deste ano, a decisão traz seus aprendizados. Parece ser oportuna a tarefa dos especialistas de analisar os desdobramentos desse primeiro caso para distintos setores da indústria e observar o horizonte com cautela.

Muito resumidamente, as irregularidades apuradas no processo administrativo foram: (1) ausência de comprovação de base legal de tratamento de dados pessoais; (2) ausência de registro de operações de tratamento de dados (RoPA); (3) não apresentação de Relatório de Impacto à Proteção de Dados Pessoais (RIPD); (4) inexistência de um encarregado de dados (DPO); e, (5) não atendimento a requisições feitas pela ANPD. Considerando a apuração, a ANPD decidiu aplicação de um conjunto de sanções para a empresa de telemarketing: (1) advertência, por infração ao art. 41 da LGPD (ausência ou irregularidade de nomeação de Encarregado de Dados — DPO); (2) multa simples no valor de R$ 7.200,00, por infração ao artigo 7º da LGPD (ausência de base legal de tratamento de dados pessoais); e (3) multa simples no valor de R$ 7.200,00, por infração ao artigo 5º do Regulamento de Fiscalização (Resolução CD/ANPD nº 1/21), especialmente diante da ausência de cumprimento deveres, pelo agente regulado, durante a fiscalização.

Primeiramente, a sanções aplicadas à empresa de telemarketing inauguram o conjunto de decisões da ANPD resultando em imposição de sanções e multas da LGPD, passíveis de serem aplicadas desde agosto de 2022. A Autoridade deve — é uma expectativa — avançar em outros processos administrativos sancionatórios instaurados por sua Coordenação-Geral de Fiscalização, contribuindo com construção de um repertório de casos que se somam à experiência internacional de autoridades nacionais de proteção de dados de outros países (como as autoridades argentina, a BfDI alemã, a CNIL francesa, AEPD espanhola e ICO do Reino Unido). Trata-se de uma atuação a escrutinar ou controlar também outras práticas e irregularidades levadas a cabo por agentes de tratamento de diversos portes no Brasil.

Da mesma forma, as multas combinadas traduzem a resposta da ANPD sobre condutas de violação à LGPD que foram apuradas no conjunto e contexto. Tecnicamente, a ausência de base legal de tratamento, a inexistência de registros de operações de tratamento de dados pelo agente (infringindo positivamente a obrigação legal contida no artigo 37 da LGPD), e não submissão de um Relatório de Impacto à Proteção de Dados Pessoais — RIPD (artigo) compõem o conjunto de violações decisivas para a delimitação do resultado sancionatório e dosimetria na aplicação das sanções pela ANPD nesse processo. Esse aspecto demonstra que a Autoridade está inclinada a considerar essas violações como base para imposição de multas, pelo maior peso sancionador.

A ausência de um encarregado de dados pessoais (DPO), por sua vez, é capaz de fazer verificar uma situação de inconformidade das práticas do agente de tratamento em relação às obrigações da lei. Isso porque a obrigação de indicação de um encarregado vincula o agente de tratamento a divulgar publicamente, de forma clara e objetiva, preferencialmente em seu sítio eletrônico, as informações de identidade e de contato da pessoa tida como DPO (artigo 41, LGPD). O encarregado, segundo a LGPD, é a “pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados”.

Aqui, no entanto, considerados inclusive o porte e a natureza da atividade econômica realizada pela empresa sancionada no setor de telemarketing — a ANPD confere uma oportunidade de revisão e correção da prática irregular pela empresa sancionada em virtude do caráter também preventivo e educativo da sanção de advertência, em contraposição à multa.

O recado não pode ser desprezado por diferentes setores da indústria, especialmente de médio e grande porte, que há meses encontram dificuldades em admitir a necessidade de revisar suas práticas de adequação à LGPD no Brasil.

Ainda encaram as obrigações relativas à proteção de dados pessoais como ônus, despesas, sem se darem conta de que boas práticas e um regime de governança de privacidade e proteção de dados há tempos são exigências do comércio internacional, da proteção efetiva de direitos fundamentais de titulares de dados, consumidores, pacientes, cidadãos.

Mais recentemente boas práticas e governança de privacidade de dados passaram a componentes para atendimento das metas previstas nos Objetivos de Desenvolvimento Sustentável (ODSs), com os quais o Brasil também está comprometido. Nada mais é do que o velho apelo para que nosso país definitivamente venha a ter o mesmo destaque que seus pares na construção de um robusto regime de proteção de dados pessoais. Essa é tarefa para o momento.

Por Fabricio B. Pasquot Polido

Fonte: https://www.conjur.com.br/2023-jul-25/fabricio-polido-anpd-aplica-primeira-sancao-empresa