A Autoridade Nacional de Proteção de Dados (ANPD) aplicou as primeiras multas oriundas de descumprimento às normas previstas na Lei Geral de Proteção de Dados (LGPD).
Os fundamentos utilizados pela ANPD para a aplicação das referidas sanções foram no sentido de que a empresa fiscalizada coletou e tratou dados pessoais de pessoas físicas sem o devido respaldo em uma das bases legais, bem como não fez a indicação de um encarregado de dados, também chamado de Data Protection Officer (DPO), além de não ter cumprido com alguns deveres durante a fiscalização.
Ao analisar os autos do processo fiscalizatório, é possível identificar que a empresa sofreu uma denúncia por ofertar dados pessoais de eleitores através de listagem de contatos.
Com a fiscalização, os referidos descumprimentos legais foram observados, sendo certo que a empresa, inclusive, não cumpriu com os deveres previstos no art. 5º, da Resolução CD/ANPD nº 1, 28.10.2021. No referido Regulamento, há a menção expressa acerca dos deveres a serem seguidos em caso de ocorrência de fiscalização.
Pelo tratamento de dados sem base legal e diante do descumprimento dos deveres exigidos pela referida Resolução da ANPD, a empresa foi autuada em R$ 7.200,00 (sete mil e duzentos reais) por infração, o que totalizou a quantia de R$ 14.400,00 (quatorze mil e quatrocentos reais). No mais, pela não indicação de encarregado de dados, a empresa foi sancionada por uma mera advertência.
É importante salientar o fato de que a empresa fiscalizada teve respeitado o seu direito ao exercício do contraditório e da ampla defesa, tendo apresentado defesa antes do julgamento que culminou na aplicação das multas.
É sempre oportuno lembrar que as multas de caráter pecuniário não podem ultrapassar o limite de 2% do faturamento bruto da empresa, respeitando-se o limite de R$ 50.000.000,00 (cinquenta milhões de reais).
Para entendermos o contexto das normas descumpridas neste primeiro processo fiscalizatório executado pela ANPD, que culminou em aplicação de sanções, é interessante ressaltar o fato de que para qualquer pessoa jurídica coletar e tratar dados pessoais de pessoas físicas se faz necessária a observância de uma das bases legais previstas no artigo 7º da LGPD.
De forma bem resumida, as bases legais previstas na LGPD para a referida coleta e tratamento de dados são: consentimento do titular; obrigação legal ou regulatória pelo controlador; pela administração pública para possibilitar execução de políticas públicas; realização de estudos por órgãos de pesquisa; execução de contratos, inclusive os procedimentos preliminares; exercício regular de direitos em processos; proteção da vida ou da incolumidade física do titular ou de terceiros; tutela da saúde em procedimentos realizados por profissionais da saúde; interesse legítimo e proteção ao crédito.
Se não houver o respaldo em nenhuma das referidas bases, a coleta e o respectivo tratamento de dados pessoais de pessoas físicas se tornam irregulares, gerando a possibilidade de multa.
A ausência de indicação do encarregado de dados pessoais gerou à empresa a pena simples de advertência, pois a determinação do artigo 41 da LGPD foi descumprida. Frise-se que este profissional deve ser o responsável pela comunicação entre o controlador, os titulares de dados e ANPD.
Por fim, é importante destacar que o art. 5º da Resolução CD/ANPD nº 01, prevê uma série de deveres a serem cumpridos pelos agentes fiscalizados, dentre os quais: fornecimento de cópia de documentos, dados e informações relevantes para avaliação; permissão de acesso às instalações, equipamentos, aplicativos, recursos tecnológicos e outras questões relevantes para avaliação; possibilitar que a ANPD tenha conhecimento de sistemas de informação utilizados para tratamento de dados.
Ainda, a empresa fiscalizada pode ser submetida a auditorias realizadas ou determinadas pela ANPD; manter os documentos durante todo o prazo de tramitação dos respectivos processos administrativos e disponibilizar, sempre que necessário, representante apto a oferecer suporte à ANPD. Portanto, a ANPD nos mostra que a LGPD veio para ficar e não há possiblidade desta lei “não pegar” no Brasil, o que torna obrigatório as empresas estarem em conformidade com os preceitos trazidos pela legislação sobre privacidade e proteção de dados pessoais de pessoas físicas.