Se as primeiras sanções impostas não impressionam o mercado, é porque ainda não foram bem entendidas
A Autoridade Nacional de Proteção de Dados (ANPD), órgão competente pela fiscalização da Lei Geral de Proteção de Dados (LGPD) no Brasil, começa – com certo atraso – a mostrar a que veio. Desde que foi divulgada a lista com os primeiros processos administrativos sancionadores (PAS) em março de 2023, alguns já foram concluídos e resultaram em sanções impostas tanto ao setor privado como ao público. Se elas não chegaram a impressionar, um exame mais detido dos dois primeiros processos mostrará que, ao contrário, deveriam preocupar os agentes econômicos controladores de dados pessoais.
A primeira sanção foi aplicada contra a empresa Telekall Infoservice (PAS nº 00261.000040/2021-13), uma microempresa que ofertava de listagens de contatos de WhatsApp para disparo de mensagens. A empresa tratava números de telefone (dado pessoal) para o envio de mensagens, inclusive para campanhas eleitorais, e constam nos autos incidente de vazamento e comercialização indevida dos dados. Em sua defesa, a empresa limitou-se a informar que seus serviços de marketing digital haviam sido encerrados temporariamente para fins de adequação à LGPD. O auto de infração computou as seguintes ofensas: (a) ausência de base legal para tratamento dos dados (arts. 7º e 11 da LGPD); (b) ausência de registro das operações de tratamento de dados pessoais (art. 37 da LGPD); (c) falta de indicação de Encarregado (violação ao art. 41 da LGPD); além da (d) omissão em atender às requisições da ANPD (violação do art. 5º do Regulamento nº 1/2021 da ANPD).
A condenação considerou apenas as violações dos arts. 7º e 41 da LGPD e do art. 5º do Regulamento nº 1, aplicando a pena de advertência para a falta de indicação de Encarregado, mais duas multas no patamar legal máximo, equivalente a 2% do faturamento da empresa, uma para a ofensa ao art. 7º da LGPD e outra pela ofensa ao art. 5º do Regulamento nº 1 da ANPD. O valor de cada multa foi de R$ 7.200,00, totalizando R$ 14.400,00 (quatorze mil e quatrocentos reais).
O valor parece desprezível se comparado com as multas aplicadas pela autoridade da União Europeia, que podem chegar à casa do bilhão pelas violações à GDPR, mas deveria chamar a atenção por sinalizar, primeiramente, a disposição da ANPD em fiscalizar e punir independentemente do porte da empresa infratora, já que aplicada a microempresário. Em segundo lugar, o valor da multa imposta de R$ 14.400,00 só na aparência é muito baixo, pois o total das duas multas perfaz 4% do faturamento bruto do controlador. Note-se que, em função do enquadramento como microempresa, a base para o cálculo da multa foi presumida em R$ 360 mil (teto de receita bruta para a tributação nessa faixa) e a multa foi aplicada no percentual máximo permitido de 2% sobre o faturamento bruto no último exercício, pois utilizando outros racionais do Regulamento de Dosimetria este teto seria extrapolado. O mais interessante, contudo, é que a pena de multa foi aplicada duas vezes, definindo a interpretação da parte final do art. 52, inc. II, da LGPD, qual seja: cabe uma multa simples de até 2% do faturamento bruto para cada infração da lei. O teto legal para as multas, segundo a norma, é de 50 milhões de reais. Fosse considerada a ausência do ROPA e do RIP, a penalidade legal abstrata de 2% por infração poderia chegar em 8% do faturamento bruto da microempresa. Não é pouco.
FONTE: Portal Jota Info
ANA PAULA ÁVILA – Coordenadora da área de Compliance de Silveiro Advogados e vice-presidente da Comissão Especial de Proteção de Dados e Privacidade da OAB-RS. Mestre e doutora em Direito pela UFRGS, mestre em Global Rule of Law pela Universidade de Gênova (Itália) e formada nos programas de Gestão de Crise e Cibersegurança para Dirigentes pelo MIT (EUA)
Primeiras sanções por violações à LGPD indicam que ANPD multou pouco, mas com rigor
