Letícia Danielle Ferreira Sell*
No mês passado, nos deparamos com algo que era muito aguardado por todos os profissionais da área de proteção de dados: a primeira multa aplicada pela Autoridade Nacional de Proteção de Dados. Passado o frenesi da autuação pioneira, surge agora o questionamento: o que podemos esperar a partir disso?
Para podermos prever o futuro, temos que analisar o caminho que foi percorrido até aqui. E é esse o objetivo do texto da coluna deste mês.
Funcionamento da ANPD
A Lei Geral de Proteção de Dados passou a valer no nosso país em 2020 e na sua versão original veio a previsão de que multas poderiam ser aplicadas pela Autoridade Nacional de Proteção de Dados – ANPD. A Autoridade, naquele momento, nasceu sem autonomia, vinculada ao Poder Executivo e muito se questionava sobre sua efetividade.
Discussões sobre a natureza jurídica da autoridade surgiram desde então e foi no ano passado que ela ganhou mais autonomia, passando a pertencer à administração indireta, no status de Autarquia Especial e, com isso, adquiriu mais poder de atuação e também a ter um orçamento próprio.
Muito embora toda essa novela que acompanhou a Autoridade, desde antes do seu nascimento e, somado ao fato de que, ainda hoje, ela careça de “braço” para trabalhar, uma vez que seu corpo de funcionários foi montado com servidores cedidos de outros órgãos, não podemos falar que a ANPD ficou inerte enquanto o seu status estava sendo decidido. Pelo contrário.
Mesmo com toda a limitação, baseado em um dos seus preceitos que é o caráter educativo, ela promoveu ações ao longo desses primeiro anos, divulgando cartilhas informativas sobre os mais variados temas relacionados ao uso de dados, foi ativa nas suas redes sociais para ensinar e conscientizar as pessoas sobre proteção de dados, além de divulgar suas agendas de trabalhos.
Agendas da ANPD
Entre as agendas divulgadas, estava a previsão sobre os processos fiscalizatórios, que se iniciaram no último ano – todos eles publicados em seu site, através de relatórios – e das aplicações das sanções, com início marcado para esse ano. E muito especulava-se a respeito dessa aplicação das sanções: será que a ANPD conseguiria aplicar essas sanções? Ela tinha corpo técnico suficiente para isso? Ela teria iniciativa? Quem seria o primeiro autuado? A LGPD teria, enfim, efetividade?
E em menos tempo do que o esperado, no mês de julho de 2023, a Autoridade nos surpreendeu, aplicando a sua primeira multa. E muitas observações valem a pena serem feitas a respeito dessa autuação pioneira. Vamos a elas:
1) A quem essa multa foi aplicada?
Contrariando a expectativa de muitos, a primeira sanção não foi aplicada a uma grande empresa. A autuação foi em uma microempresa, da área de telecomunicações. E essa ação da ANPD tem um impacto muito grande na efetividade da Lei, afinal muitos críticos da legislação afirmavam, com convicção, que ela jamais chegaria em pequenas empresas, devendo a adequação ser preocupação, apenas, das grandes e multinacionais.
Assim, essa primeira multa mostra que essa opinião era equivocada e que, conforme dispõe a própria Lei, ela se aplica a toda e qualquer pessoa jurídica – independentemente do seu tamanho.
2) O valor da multa:
A primeira multa, na casa dos R$ 14.000,00, não foi no patamar dos milhões, como todos anunciavam sobre a Lei, antes mesmo dela entrar em vigor, porém não se pode negar que ela teve, sim, um valor significativo, quando paramos para analisar que foi aplicada numa microempresa.
Além disso, a multa seguiu os requisitos previstos na própria legislação a respeito da aplicação das sanções e foi proporcional ao porte da empresa, mostrando que as sanções não têm o objetivo principal de fechar as empresas e encerrar as suas atividades, com valores exorbitantes e impossíveis de pagar – como muitos propagavam por aí – mas também liga um alerta para que elas se preocupem com eventuais multas que possam sofrer. Afinal, o impacto de R$14.000,00 numa microempresa não pode ser considerado insignificante, não é mesmo?
3) Aplicação de multa como última alternativa:
A multa não foi aplicada “da noite para o dia”: foram dadas algumas oportunidades para a empresa se adequar e passar a adotar as medidas corretas. Porém, todas elas foram ignoradas. Isso rechaça a ideia equivocada de que a ANPD quer, somente, arrecadar dinheiro, mostrando que essa é a última alternativa.
4) Marketing negativo decorrente da autuação:
A autuação saiu em vários canais de comunicação, na imprensa, reforçando a ideia de que estar em descumprimento da legislação de dados é, sobretudo, uma ação que pode afetar a credibilidade da empresa e fazer um marketing negativo para ela.
5) Pontos que levaram à autuação:
Os pontos que levaram a aplicação da multa pela Autoridade Nacional de Proteção de Dados também devem ser observados, sendo eles:
– Falta de mapeamento e controle de fluxo de dados pela empresa: toda empresa deve ter controle e gestão sobre os dados que possui e isso só é possível através de um mapeamento bem feito e constantemente atualizado;
– Tratamento de dados sem a correspondente base legal: toda utilização de dados tem que ser justificada em uma hipótese legal correspondente, prevista nos artigos 7º ou 11 da LGPD. No caso da empresa autuada, não havia essa ligação entre tratamento de dados e base legal;
– Falta de indicação de encarregado de dados: a LGPD determina que toda empresa deve ter um encarregado de dados indicado, salvo algumas exceções – que não era o caso da empresa autuada, por conta do alto fluxo de dados pessoais que utilizava. O encarregado de dados é a pessoa responsável por ser o canal de comunicação entre empresa e titular de dados e a ANPD, além de auxiliar a empresa a se manter adequada, sendo extremamente importante para a proteção de dados;
– Falta de elaboração de Relatório de Impacto: em determinadas situações, a LGPD determina que algumas empresas elaborem esse documento, devido à quantidade de dados que utiliza e/ou os riscos inerentes a essa utilização, a fim de mitigá-los e, com isso, aumentar a proteção dos dados pessoais e a segurança do titular.
Analisando esses quatro pontos podemos perceber que eles são tópicos básicos relacionados à adequação à LGPD, mas que uma vez ignorados levaram à autuação. Isso demonstra àqueles que não acreditavam na efetividade da Lei que eles não podiam estar mais enganados. A LGPD já era uma realidade antes mesmo da multa, porém agora coloca certa urgência na adequação daqueles que ainda estavam parados, além de nos deixar atentos para o que vem por aí. Você tem algum palpite?
Leia outros artigos da autora:
A necessidade de adequação à LGPD de empresas vai além da implementação de novos documentos
Letícia Sell: Advogada, especialista em LLM em Proteção de Dados: LGPD e GDPR pela Fundação Escola Superior do Ministério Público e pela Faculdade de Direito da Universidade de Lisboa e em direito de empresarial. Consultora de Proteção de Dados de pequenas e médias empresas e atuação como DPO as a service; membro da Comissão de Proteção de Dados da OAB/MG e Sócia Fundadora da Vale e Sell Consultoria LTDA; ministra cursos e palestras com fins a divulgar informação sobre a importância da proteção de dados para pequenos negócios e profissionais liberais.
