Já foram bem debatidos os motivos que levaram à aplicação da primeira multa pela Autoridade Nacional de Proteção de Dados (ANPD) a uma microempresa de telemarketing do Espírito Santo. Basicamente, a ANPD aplicou uma advertência e duas multas: a primeira, “devido à não indicação de um encarregado de tratamento de dados pessoais” (DPO); uma “multa simples no valor de R$ 7.200 por inexistência de hipótese legal para tratamento de dados pessoais”; e, por fim, “multa simples no valor de R$7.2000 em razão de não atendimento a solicitações da ANPD durante o processo de investigação”.

No presente artigo, vou discutir aspectos da advertência dada à empresa e da segunda multa aplicada tendo como referência os dados sobre adequação das empresas à Lei Geral de Proteção de Dados (LGPD) lançados no ano passado pelo Cetic.br. Com indicadores desenvolvidos junto à especialistas da academia e do setor público, a pesquisa trouxe um amplo panorama sobre o estágio atual das práticas de proteção de dados pessoais nas empresas brasileiras.

O primeiro ponto é sobre o DPO. Apesar de recentemente a ANPD ter dispensado a presença do encarregado em organizações de pequeno porte, há necessidade caso a empresa realize tratamento de dados pessoais de alto risco. A advertência dada pela ANPD liga o alerta para outras empresas, e os dados disponíveis mostram que há ainda um caminho para se consolidar o papel do DPO entre as empresas brasileiras.

De acordo com a pesquisa, 17% das empresas brasileiras nomearam um encarregado de dados, sendo que é prática mais recorrente entre as grandes empresas (41%). No que diz respeito ao mercado de atuação, os setores de informação e comunicação e de atividades profissionais são os que mais apresentaram empresas que nomearam um encarregado de dados, seguido de perto do setor de transportes, mas em todos os casos atingindo uma proporção bem pequena de empresas.

Gráfico 1 – Empresas, por nomeação de um encarregado de dados

Total de empresas (%)

Imagem 1

É importante mencionar que os dados acima não implicam que todas as empresas precisam nomear um encarregado de dados, ou que a baixa proporção de DPOs vai levar a advertências generalizadas, independente do porte e setor de atividade da empresa. No entanto, o dado acima evidencia que na maioria das empresas não há um profissional responsável por zelar e promover uma cultura de proteção de dados, o que pode evitar futuras advertências e multas.

Um efeito prático disso é justamente o motivo da segunda multa aplicada: a falta de um relatório de impacto à proteção de dados pessoais e dos procedimentos de tratamento, implicando a ausência de um fluxo sobre a entrada e descarte desses dados.

De acordo com a pesquisa do Cetic.br, a presença de procedimentos para tratamento correto dos dados pessoais é ainda bem incipiente, sobretudo em pequenas e médias empresas. Apenas 13% das empresas fizeram um relatório de impacto à proteção de dados pessoais, enquanto 24% elaboraram um plano de conformidade à LGPD.  Do ponto de vista da transparência, o cenário é também incipiente, na medida em que 32% das empresas desenvolveram uma política de privacidade que informa como os dados pessoais são tratados. Como é possível ver no gráfico abaixo, apenas grandes empresas possuem práticas mais consolidadas para adequação à LGPD.

Gráfico 2 – Empresas por tipo de ação de adequação à LGPD

Total de empresas (%)

Imagem 2

Em suma, aspectos básicos do tratamento de dados pessoais precisam ser disseminados, sobretudo nas pequenas e médias empresas. Há diversas práticas que podem levar a um uso incorreto dos dados pessoais de clientes e funcionários e que podem gerar outras multas e advertências.

Ainda que a lei seja recente e haja incertezas quanto à sua correta adequação, é necessário tornar as melhores práticas de proteção de dados pessoais uma constante na, pois garantir o bom uso dos dados é cada vez mais central para a reputação da organização, bem como para evitar punições que possam trazer danos reputacionais e financeiros irreversíveis.

Texto: Leonardo Melo Lins