Aprendizados com as primeiras sanções aplicadas pela ANPD

Em 6 de julho de 2023, a ANPD, (Autoridade Nacional de Proteção de Dados) aplicou a primeira multa para uma empresa brasileira. 

Considerando que a Lei Geral de Proteção de Dados Pessoais (LGPD) - lei 13.709/18 entrou em vigor em setembro de 2020, as sanções, a partir de 1º de agosto de 2021, e em 23 de março de 2023, foi publicada a primeira lista de processos sancionatórios, os profissionais de privacidade esperavam, com certa ansiedade (e curiosidade), uma atuação da ANPD no que tange às sanções.

O que nos chama a atenção, em primeiro lugar, é o porte da empresa que foi multada. A Autoridade iniciou com uma microempresa, surpreendendo algumas pessoas que aguardavam o nome de uma empresa de grande porte. O ponto importante? A ANPD deixa claro que a lei é para todos e, independentemente de segmento, porte e faturamento, todas as organizações devem cumprir o que estabelece a LGPD.

Isso é de suma importância, principalmente pelo fato de as empresas menores pensarem que não precisam de DPO nem investir em segurança. Claro que a avaliação deve ser feita caso a caso, todavia, investir em prevenção é fundamental para evitar toda e qualquer gama de prejuízos para a companhia.

Em um segundo momento, a não aplicação de medidas corretivas nos salta aos olhos, eis que a empresa estava sendo investigada por: ausência de comprovação de hipótese legal; ausência de registro de operações; não envio de Relatório de Impacto de Proteção de Dados; ausência de encarregado de dados pessoais; não atendimento à requisição da ANPD.

Do nosso ponto de vista, uma correção geral seria necessária: adotar uma hipótese legal, nomear um DPO, elaborar ROPA (Record of Processing Activities) e RIPD (Relatório de Impacto de Proteção de Dados Pessoais). Essas correções atenderiam aos artigos 7º, 41, 37, 5º, XVII e 38 da LGPD.

Falando sobre a ausência do DPO, apesar da ANPD, nessa decisão, não ter considerado a Telekall como empresa de pequeno porte, vale a pena falar sobre o assunto. Dispõe o art. 11, da Resolução 2 da ANPD:

"Os agentes de tratamento de pequeno porte não são obrigados a indicar o encarregado pelo tratamento de dados pessoais exigido no art. 41 da LGPD.

§ 1º O agente de tratamento de pequeno porte que não indicar um encarregado deve disponibilizar um canal de comunicação com o titular de dados para atender o disposto no art. 41, § 2º, I da LGPD".

Mais do que nunca, precisamos compreender a importância do encarregado pelo tratamento de dados pessoais (DPO) em todo esse contexto, que é figura fundamental para a realização de um programa de privacidade correto, completo e atualizado e que, por conta de suas funções, poderá cooperar com a empresa, evitando futuras sanções.

Claro que algumas organizações, por conta de tamanho e segmento, podem não necessitar de um DPO, no entanto, essa análise precisa ser feita com muita cautela. Mais do que pensar em gastos com um profissional de privacidade (e no nosso ponto de vista, segurança sempre será investimento, e nunca gasto), é imprescindível pensar nos gastos pela ocorrência de um incidente ou uma violação de dados pessoais (o caso em tela ilustra exatamente isso).

Ainda, foi verificado que a empresa se encontra inapta, o que gera dúvidas com relação ao pagamento da multa. A título de conhecimento, estabelece a IN RFB 1.863/2018, em seu artigo 42, § 1º:

"A pessoa jurídica declarada inapta nos termos do caput pode regularizar sua situação mediante apresentação, por meio da Internet, das declarações e demonstrativos exigidos ou comprovação de sua anterior apresentação na unidade da RFB que a jurisdiciona".

Pelo fato de não ter cumprido algumas obrigações e precisar de regularização, por ora, nos parece que será complicado receber a quitação da multa. Aguardemos os próximos capítulos.

E o que aprendemos com tudo isso? Que a conscientização é essencial, mas a fiscalização também precisa ocorrer. Além disso, a ANPD está mantendo uma postura de transparência, o que é imperioso para que a cultura de privacidade no Brasil evolua.

E, por mais que pareça "chover no molhado", sim, fica cada dia mais claro que, se adequar à LGPD não é uma opção. Que sim, a lei pegou. Que sim, respeitar a privacidade é uma obrigação de todas as organizações. E que todos estão sujeitos a terem incidentes de segurança e violações de dados pessoais a qualquer momento, e uma atuação preventiva, além de evitar problemas na continuidade dos negócios e a gerar problemas reputacionais, mais do que nunca, poderá gerar problemas financeiros.