Recentemente, a Agência Nacional de Proteção de Dados (ANPD), órgão ligado diretamente à Presidência da República do Brasil, aplicou a primeira multa sobre violação da Lei Geral de Proteção de Dados (LGPD), no valor de R$ 14.000,00. O fato de se tratar esta primeira sanção de uma multa de valor pouco expressivo revela que ninguém está a salvo de um processo administrativo sancionador na hipótese de cometimento de uma falta administrativa, sejam grandes corporações, sejam pequenos ou médios negócios.
Ainda que a maior parte das empresas já estejam atentas às implicações legais que envolvem a proteção de dados, a penalidade serve como um alerta e realça a necessidade urgente de compreender profundamente o ambiente regulamentar da lei e de tomar medidas práticas para prevenir imbróglios jurídicos. Neste artigo abordamos a aplicação dessa multa feita pela ANPD e ressaltamos as práticas que os empresários devem adotar para reduzir riscos e desenvolver estratégias de prevenção.
A propósito, é preciso considerar, como ocorreu neste caso, que pode ganhar escala a estruturação de um verdadeiro enforcement entre instituições como MP, judiciário e órgãos de defesa do consumidor que, por ofício, podem provocar a mobilização da ANPD para que ela exerça o encargo de fiscalização e controle.
A sanção aplicada pela ANPD surgiu após extensa investigação sobre violações de dados pessoais em determinada empresa que, inclusive, alegou desconhecer a legislação nos pontos mais importantes e sensíveis. Essa situação evidenciou os erros da unidade no tratamento dos dados, a divulgação de vulnerabilidades de segurança da informação e a violação dos direitos dos titulares dos dados. Por outro lado, ficou clara a seriedade com que a ANPD encara a proteção de dados e sua firme determinação em cumprir a lei.
Para justificar a multa, percebeu-se a violação dos artigos 7 e 11 da Lei Geral de Proteção de Dados (lei 13.709) que dispõem sobre a ausência de comprovação de hipótese legal de tratamento desses dados; também o artigo 37 que frisa a ausência de comprovação de registro das operações de tratamento de dados pessoais; e o artigo seguinte, 38, da ausência de envio do relatório de impacto à proteção de dados pessoais referente as suas operações de tratamento. Por fim, também foi violado o artigo 41, sobre a falta de comprovação da indicação do encarregado.
Para evitar a penalização, é meritório que os empresários compreendam os requisitos da LGPD e os princípios norteadores da proteção de dados. A implementação de políticas e procedimentos que cumpram a lei é o primeiro passo para garantir a segurança dos dados e manter a sua privacidade, para tanto é produtivo trabalhar em projeto de conformidade com a LGPD que usualmente se inicia por um diagnóstico da situação atual e pela identificação dos pontos de acesso e tratamento de informações sensíveis, além de sua classificação pelo nível de criticidade.
A Avaliação de Impacto à Proteção de Dados (AIPDs) é também uma prática fundamental para identificar e avaliar riscos de proteção de informações em operações empresariais. Estas avaliações permitem a implementação de medidas preventivas e corretivas que reduzem a exposição aos riscos e, consequentemente, às multas. É de grande valia educar os colaboradores, sócios, parceiros e prestadores de serviços sobre a importância da proteção de dados e as implicações da LGPD. A prática regular ajuda a minimizar erros e ações prejudiciais que podem levar a consequências visíveis.
Ademais, a busca por orientação especializada de assessoria jurídica com expertise no tema pode garantir que uma empresa cumpra integralmente a LGPD e que suas práticas estejam de acordo com a legislação aplicável.
Portando, a primeira multa relacionada à LGPD emitida pela ANPD ressalta a necessidade de os empresários tomarem medidas proativas para garantir o cumprimento da legislação. Investir no entendimento dos requisitos da LGPD, na implementação de políticas específicas, na realização de avaliações de impacto e na obtenção de orientação especializada são estratégias promissoras para afastar interrupções e proteger os dados, além de fomentar uma cultura corporativa que valoriza a privacidade e a segurança.
Por: Alexandre Almeida da Silva