Na data de 06 de julho de 2023 foi aplicada, no Brasil, a primeira multa em razão da realização do tratamento de dados pessoais em desconformidade com a Lei Geral de Proteção de Dados – LGPD (Lei nº 13.709/2018).
A empresa penalizada é uma microempresa com sede em Vila Velha/ES, do ramo de telemarketing, e as multas aplicadas totalizaram R$14.400,00 (quatorze mil e quatrocentos reais). Tal circunstância é uma sinalização para o mercado de que as micro e pequenas empresas também estão sujeitas a fiscalização e aplicação de sanções.
E inaugura um novo estágio na atuação da Autoridade Nacional de Proteção de Dados – ANPD, que deixa de ser eminentemente educativa para já começar também a penalizar os infratores.
As infrações praticadas pela empresa estão relacionadas com a ausência de Encarregado de Dados (art. 41 da LGPD, pena de advertência); irregularidade ou ausência de indicação do fundamento legal para realizar o tratamento dos dados pessoais (art. 7º da LGPD - multa de R$7.200,00) e não ter colaborado com a ação fiscalizatória (art. 5º do Regulamento de Fiscalização - multa de R$7.200,00).
Não tendo sido disponibilizado o acesso ao procedimento administrativo, não é possível tomar ciência dos exatos fatos e termos que conduziram aos sancionamentos.
Contudo, é possível delinear já algumas repercussões jurídicas relevantes.
Uma delas diz respeito à crença generalizada de que violação de dados equivale a vazamento de dados. As sanções aplicadas deixam claro, para quem ainda insiste na percepção equivocada do regime de proteção de dados pessoais, que a conformidade a ser buscada pelas empresas é jurídico-legal e não de segurança da Informação, não obstante sejam a Tecnologia da Informação e a Segurança da Informação de importância ímpar para se alcançar o estado de conformidade jurídico-legal.
O conhecimento e as ferramentas pertinentes ao universo da tecnologia devem ser utilizados para concretizar os conceitos e objetivos da Lei, para a tutela do direito fundamental à proteção de dados. Por isto é comum ouvir que o processo de adequação à LGPD é uma tarefa multidisciplinar. Mas é possível haver violação de dados sem que tenha havido vazamento de dados e mesmo que a empresa adote os melhores e mais seguros sistemas tecnológicos. É importante estar atento a isto.
Outro ponto que merece comentário é o fato de que a empresa sancionada, segundo informação corrente nas redes sociais, figura como inapta na Receita Federal. Tal fato é irrelevante para fim de aplicação das sanções por infração à LGPD. Em matéria de proteção de dados pessoais, consideram-se as circunstâncias da situação em concreto. Se a empresa, no plano dos fatos, configura-se como agente de tratamento de dados nos termos da LGPD e realiza o tratamento destes dados pessoais em desconformidade com a Lei, poderá haver a aplicação das sanções administrativas. Ainda quando não haja uma pessoa jurídica regularmente constituída, o responsável pela atividade responderá e poderá sofrer o sancionamento. A eventual inexistência de formalidades jurídicas não obsta nem a fiscalização, nem a aplicação de sanções.
Por fim, destaco o sentimento de alguns, de que ser punido por não colaborar com a fiscalização seria o mesmo que ser punido por não fazer prova contra si mesmo. Não se trata disso.
Em Direito, ninguém é obrigado a fazer prova contra si mesmo. Por outro lado, todo aquele que utiliza ou faz a gestão de bens de terceiro tem o dever de prestação de contas. E é esta a hipótese que mais se aproxima da previsão constante do Regulamento de Fiscalização da ANPD, segundo o qual a empresa, quando submetida à fiscalização, deve fornecer cópias físicas ou digitais de documentos e permitir o acesso às instalações, equipamentos, aplicativos, sistemas, ferramentas, informações técnicas e operacionais, além de outras providências, sob pena de caracterização de obstrução à atividade fiscalizatória.
Isto porque a empresa utiliza, em benefício do próprio negócio, informações pessoais de terceiros, o que confere grande relevância aos princípios da transparência e da accountability (responsabilização e prestação de contas), dos quais decorrem os deveres de colaboração com a fiscalização. As informações e o acesso são restritos ao que diz respeito à atividade fiscalizada, guardando-se sigilo quanto ao mais.
Estas são algumas das repercussões jurídicas da primeira sanção imposta pela ANPD, que nos permitem ajudar a clarear o entendimento acerca da realização de tratamento de dados em conformidade com a LGPD.