Em julho, a Autoridade Nacional de Proteção de Dados (ANPD) divulgou a primeira aplicação de penalidades previstas na Lei Geral de Proteção de Dados (LGPD): o alvo foi uma microempresa que atua em marketing digital.[1] Examinamos o precedente em busca de compreender a linha interpretativa da ANPD e a perspectiva para os casos futuros. Considerando que a LGPD é inspirada na lei europeia de proteção de dados (General Data Protection Regulation – GDPR), citamos precedentes das autoridades europeias como referência.
Embora a LGPD e os dispositivos que preveem as sanções administrativas estejam em vigor desde agosto de 2021, a imposição de penalidades somente foi possível com a regulamentação do processo de fiscalização e administrativo sancionador (Resolução CD/ANPD 1, de 28/10/2021) e, mais recentemente, da dosimetria e aplicação das sanções administrativas (Resolução CD/ANPD 4, de 24/2/2023). A regulação da dosimetria era indispensável para estabelecer critérios e parâmetros para os diferentes tipos de sanções da LGPD, que inclui advertência, multa de até 2% do faturamento – limitado a R$ 50 milhões por infração –, bloqueio dos dados pessoais, suspensão do exercício da atividade de tratamento, dentre outras.
A GDPR entrou em vigor em maio de 2018 e a autoridade francesa aplicou a primeira multa de € 50 milhões ao Google em janeiro de 2019. Ou seja, optou-se por penalizar de forma rigorosa uma empresa americana com atuação global que controla enorme volume de dados pessoais, trazendo visibilidade para a relevância do tema. A ANPD seguiu em linha diametralmente oposta no primeiro caso, já que levou quase três anos para aplicar a primeira sanção, o agente penalizado é uma microempresa e as sanções impostas são leves (advertência e multa de valor módico).[2] Porém, as listas de processos em andamento divulgas pela ANPD apontam a tendência de que as próximas penalidades sejam mais rigorosas por envolverem agentes de maior porte, tanto públicos quanto privados, como Ministério da Saúde, INSS, Dataprev, WhatsApp e Telegram.[3]
Uma das penalidades aplicadas pela Autoridade neste primeiro caso foi a “ADVERTÊNCIA, sem imposição de medidas corretivas” por falta de indicação de encarregado de proteção de dados,[4] que também é chamado de Data Protection Officer (DPO). A LGPD determina que, em regra, todos os agentes de tratamento devem indicar um encarregado, que atua como canal de comunicação com os titulares de dados e a ANPD, bem como na orientação de colaboradores e nas decisões da entidade que impactam o tratamento de dados pessoais, além de outras atividades determinadas pelo controlador e em normas complementares. A depender das suas atividades, os agentes de pequeno porte não precisam nomear um encarregado (Resolução CD/ANPD 2/2022). No caso analisado, a empresa fiscalizada poderia ser classificada como agente de pequeno porte, mas as suas atividades de tratamento de dados impunham a nomeação de encarregado.
A interpretação da ANPD é no sentido de que a falta de indicação de encarregado por agentes de pequeno porte é uma infração leve ou média, tendo em vista que somente esses tipos de infração estão sujeitas à advertência e no caso concreto não foi imposta medida corretiva. Porém, o entendimento não deve ser o mesmo em relação a agentes que não sejam de pequeno porte, visto que a LGPD é taxativa quanto à obrigatoriedade de indicação do encarregado. Portanto, é esperado que as sanções sejam mais rigorosas para outros casos. A título comparativo, a GDPR impõe a indicação de DPO para hipóteses específicas e as autoridades europeias aplicam multas até mesmo para casos em que há DPO indicado, mas a sua atuação no tratamento de dados da organização é insuficiente.[5] Ou seja, não basta indicar um Encarregado/DPO, é necessário que exerça de fato as atividades previstas em lei.
A ANPD aplicou multa de R$ 7.200 por falta de base legal que a autorizaria a comercializar lista de contatos de WhatsApp de eleitores. De acordo com a Lei, é possível realizar o tratamento (coleta, armazenamento, arquivamento, compartilhamento e outros tipos de uso) de dados pessoais e sensíveis se estiver fundada em uma das bases legais previstas na LGPD.
Não obstante o valor da multa aplicada seja módico, ponderamos que o valor-base da multa é calculado com base na classificação da infração (leve, média ou grave), no faturamento do infrator e no grau de dano provocado pela infração. Considerando que a entidade penalizada é uma microempresa e a infração foi considerada leve ou média, o valor da multa foi proporcional ao seu faturamento e aos efeitos da infração. Assim, nos casos em que o agente fiscalizado for entidade de maior porte e/ou a infração provocar danos de grau mais elevado, as multas serão proporcionalmente maiores.
Destacamos que as autoridades europeias aplicam multas significativas não apenas no caso de falta de base legal para o tratamento de dados pessoais, mas também se houver sua indicação equivocada. Citamos caso emblemático recente, de janeiro de 2023, em que a autoridade irlandesa aplicou multa de € 210 milhões à Meta no caso do Facebook e € 180 milhões no caso do Instagram, pois entendeu que não era aplicável a base legal de execução de contrato por ambas as redes sociais para tratamento de dados para publicidade comportamental sob a alegação de que haveria concordância com “Termos de Uso”.[6]
A outra multa de R$ 7.200 aplicada no caso sob análise foi decorrente da falta de cooperação com a ANPD, já que o agente fiscalizado foi notificado a respeito dos indícios de infração e não atendeu às determinações da equipe de fiscalização. O regulamento estabelece que os agentes regulados devem cooperar com a Autoridade, o que inclui, por exemplo, fornecer cópia de documentos, dados e informações sobre tratamento de dados, permitir acesso às suas instalações, equipamentos, sob pena de aplicação das penalidades administrativas.
Notamos que a multa aplicada por não atender às determinações da ANPD no âmbito da fiscalização foi equivalente à multa por violação a dispositivo da LGPD. Assim, em caso de notificação da Autoridade, é indispensável apresentar resposta no prazo estabelecido com as informações e dados solicitados. As organizações que não iniciaram o processo de adequação das suas atividades à LGPD provavelmente enfrentarão dificuldades para compreender o escopo da ordem da ANPD e para realizar o levantamento da informação em tempo hábil. Ademais, a cooperação insuficiente com a Autoridade também está sujeita à aplicação da penalidade, como ocorre na União Europeia.[7]
Por fim, a decisão examinada aplicou a possibilidade de desconto do valor das multas em caso de pagamento no prazo legal e mediante renúncia ao direito de recorrer, cujo benefício também pode ser aplicado em caso futuros. A falta de pagamento implica na inscrição da entidade no Cadin e na Dívida Ativa da União, além de ajuizamento de execução fiscal.
Por URSULA RIBEIRO DE ALMEIDA
