Por meses os profissionais de privacidade do Brasil têm conjecturado acerca da tão famigerada “Primeira Multa da LGPD™️”, e finalmente estamos diante dela.
O dia 06 de julho de 2023 entrou para a história normativa do nosso país como a data da primeira sanção administrativa aplicada pela Autoridade Nacional de Proteção de Dados, e calhou de ser, também, a primeira multa.
A empresa Telekall Infoservice, de Vila Velha/ES foi a premiada. O que? Não era o que você esperava? Pois é, você não é o único!
Multada duplamente, tanto por falta de apresentação das bases legais de tratamento, nos termos do art. 7º da LGPD, quanto por não colaborar com o processo de apuração, nos termos do art. 5º da Resolução n. 1 da ANPD, a microempresa, que sequer possui sede em capital estadual, suportará, a princípio, uma sanção de advertência e duas de natureza pecuniária, no valor de R$7.200,00 (sete mil e duzentos reais) cada.
Que a primeira sanção administrativa passaria uma mensagem pública, todos nós sabíamos, só não esperávamos que fosse essa, exatamente.
Optando por aplicar a primeira sanção em uma pequena empresa do setor privado, muito embora a maioria esmagadora dos processos abertos digam respeito a operações realizadas por entes do poder público direto ou indireto, a ANPD inadvertidamente passa uma mensagem importante, mas que pode ser interpretada tanto de forma positiva quanto negativa.
Por um lado, existe uma certa decepção – em grande parte devido à expectativa criada acerca da tão aguardada primeira multa – quanto ao fato de que a primeira multa não tenha sido grandiosa ou exemplar, ou mesmo aplicada sobre um dos gigantes corporativos que tratam dados pessoais de maneira indiscriminada no Brasil.
Por outro, o fato de que o primeiro punido tenha sido um microempresário do interior do Espírito Santo atesta que ninguém está voando abaixo do radar. Havia uma percepção generalizada, e confesso que também cheguei a cair nela, de que a ANPD teria “muito no prato para comer” antes de partir na direção de agentes de tratamento menores ou menos relevantes, já que, como dito, existem incontáveis agentes de tratamento de dados pessoais com atuação em ampla extensão nacional – e até mesmo internacional – executando operações de gigantesco volume e imensa sensibilidade.
Isso significa que, pelo menos num primeiro momento, a ordem de julgamentos dos processos administrativos de fato não será determinada pela relevância do caso, pelo tamanho do agente de tratamento ou mesmo da gravidade da infração. Evidentemente ainda é cedo para cravar isso de maneira derradeira, mas certamente é o que indica a escolha do primeiro punido.
O teor do despacho, em si, também diz muito acerca da, até então misteriosa, visão normativa da ANPD. Importante eu deixar claro que, no momento da elaboração deste artigo de opinião, ainda não tive acesso a qualquer inteiro teor que apresente fundamentação detalhada da decisão, tão somente ao despacho contendo o que seria o dispositivo, aplicando as sanções de advertência e as duas multas, portanto todo o meu julgamento se dá com base nas fundamentações de instauração do processo e no já mencionado despacho.
Originalmente instaurado por falta de atribuição de bases legais e ausência de nomeação de encarregado (DPO), o processo chegou ao seu fim com punições aplicadas para ambas as hipóteses, além de uma terceira de natureza processual. Vamos tratar uma de cada vez.
A primeira sanção aplicada foi a de advertência, ao que tudo indica em decorrência da ausência de nomeação de encarregado (DPO) pela empresa infratora. Este, talvez o ponto mais polêmico da decisão, levantou algumas sobrancelhas por aí, uma que, em se tratando de agente de tratamento de pequeno porte, nos termos do Art. 2º, I, da Resolução n. 1 da ANPD, a empresa em questão não estaria, a princípio, obrigada a indicar a figura do DPO. Contudo, é importante destacar que a mesma resolução prevê, em seu art. 3º, exceções a esta regra, notadamente para o caso de organizações que “realizem tratamento de alto risco para os titulares, aufiram receita bruta superior ao limite estabelecido no art. 3º, II, da Lei Complementar nº 123, de 2006 ou, no caso de startups, no art. 4º, § 1º, I, da Lei Complementar nº 182, de 2021, ou que pertençam a grupo econômico de fato ou de direito, cuja receita global ultrapasse os limites referidos no inciso II, conforme o caso.”
Não é possível aferir, num primeiro momento, se a ANPD se amparou em alguma dessas exceções para reconhecer a necessidade de nomeação do DPO, muito embora a empresa se enquadre nas exceções a esta obrigação, mas certo é que houve sanção neste sentido, no caso, na forma de uma simples advertência.
Sobre esse ponto, não há muito o que se debater, afinal, a LGPD está publicada há mais de quatro anos a esta altura, e é difícil alegar ignorância à sua existência. No mais, a lei também está em vigor desde o meio de 2020, outro momento em que foi amplamente divulgada e debatida. A obrigação de simples indicação do DPO está entre as mais simples da LGPD, e é realmente desanimador que com tanto tempo de sua vigência ainda existam agentes de tratamento que não cuidaram nem mesmo disso.
O DPO, nos termos literais da LGPD, sequer possui formação ou qualificação mínimas, de modo que, mesmo não sendo o ideal, mesmo alguém inexperiente pode atuar como DPO da sua organização nos casos em que esta não conseguir indicar um profissional ou empresa terceira que o faça.
A modalidade do DPO as a Service, ou DPO como serviço, largamente popularizada no Brasil nos últimos anos, é uma alternativa fácil e viável para a resolução deste problema. Significativamente mais barato e seguro do que a contratação de um empregado para a função, a contratação de consultoria especializada para assunção do cargo é não apenas recomendável, mas se torna preferível num cenário em que a ciência da privacidade ainda pavimenta seus caminhos normativos no país.
Passemos agora à análise das duas multas de R$7.200,00 (sete mil e duzentos reais) cada, que, até mesmo pelo fato de terem sido aplicadas em conjunto e em valores idênticos, nos revelam alguns detalhes sobre a dosimetria considerada para a sua fixação.
Em primeiro lugar, a definição de seus valores idênticos indica que a base de cálculo e método de fixação foram os mesmos, independentemente de qual tenha sido escolhido, o que significa que existe, de fato, algum nível de segurança jurídica na determinação das montas pecuniárias aplicadas ao caso.
Ademais, o fato de terem sido aplicadas duas multas, separadamente, confirma a interpretação correta do art. 52, inciso II da LGPD, que determina que a multa será aplicada POR INFRAÇÃO.
No caso, a primeira multa decorreu do fato de que a empresa infratora não foi capaz de apresentar as bases legais que fundamentam o tratamento dos dados pessoais operados, o que seria facilmente atendido por meio da construção de um ROPA (Record of Processing Activities), que nada mais é que um documento detalhando as operações de tratamento de dados pessoais existentes na organização, indicando dados pessoais tratados em cada uma delas, sua natureza, base legal, compartilhamentos, transferências internacionais etc.
Um documento desta natureza é absolutamente basilar no processo de adequação de uma organização aos ditames da Lei Geral de Proteção de Dados Pessoais, e sua falta indica absoluta ausência de compromisso da empresa com a privacidade dos titulares. Venho dizendo há anos, e repito: não existe programa de compliance em privacidade sem mapeamento de operações de tratamento de dados pessoais. É a partir dele que construímos todo o programa, e ele opera como alicerce das ações a serem tomadas na organização, tanto a título de adequação regulatória, quanto de segurança da informação.
Observem que eu falei em mapeamento de dados, e não em inventário. Escuta-se muito por aí sobre a necessidade de utilização de ferramentas de Data Discovery para elaboração do ROPA, quando na verdade esta percepção não poderia estar mais equivocada. Por meio deste tipo de ferramenta se obtém uma lista crua de dados armazenados, completamente imprestável se não for observada sob a lente regulatória das operações nas quais tais dados estão inseridos. Em resumo, mapear os dados pessoais não significa inventariá-los, visto que é necessário que os dados estejam associados às operações que os tratam, com a devida indicação de base legal.
Sem qualquer surpresa, a primeira violação punida à LGPD possui natureza regulatória, muito embora boa parte do arcabouço de privacidade brasileiro ocorra sob o manto da segurança da informação, de maneira idêntica ao que ocorreu e ocorre na União Europeia com a GDPR (General Data Protection Regulation), na qual se observa uma maioria esmagadora de sanções aplicadas em razão de violações de natureza operacional, sem qualquer incidente de segurança relacionado.
Trata-se de outro tópico sobre o qual alerto meus clientes há muito tempo. Por mais que um incidente de segurança seja assustador e potencialmente devastador, a sua ocorrência é conditio sine qua non para que ele seja motivador de uma sanção administrativa. Isso significa que não apenas a empresa precisaria sofrer o incidente em questão para sofrer uma sanção em decorrência dele, mas o incidente também precisaria ser detectado por alguém, algo que nem sempre acontece.
Já no caso de uma sanção administrativa de natureza regulatória, especialmente no caso de falta de elementos objetivos de compliance, como a nomeação do DPO ou a apresentação das bases legais, tudo que precisa acontecer para que uma empresa enfrente uma eventual sanção administrativa em sua decorrência é que alguém faça a pergunta certa. Em suma, o que parece ser mais provável, a ocorrência e detecção de um incidente de segurança da informação, ou que alguém pergunte quem é o seu DPO?
As infrações de natureza regulatória são muito mais facilmente aferíveis, já que muitas vezes uma simples pergunta pode ser o bastante para se observar a violação da lei. A privacidade passa, invariavelmente, por duas obrigações principais, legalidade de tratamento e segurança de tratamento, e a ausência de qualquer um desses elementos configurará infração legal, devendo os agentes de tratamento serem capazes de demonstrar, por meio de evidências, o trabalho realizado no sentido de buscar ambas. Tal demonstração é claramente uma observância ao princípio da responsabilização e prestação de contas, que estabelece que os agentes de tratamento demonstrem a adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais.
Por fim, a terceira e, talvez, mais interesse parte da decisão: a aplicação da segunda multa, no mesmo valor da primeira já mencionada. Esta não decorreu de violação direta ou material da LGPD em si, mas sim, da violação processual do art. 5º da Resolução n. 1 da ANPD, que trata, justamente, do regulamento para condução dos processos administrativos.
O referido artigo estabelece, em síntese, que os agentes de tratamento devem colaborar com o bom andamento do processo administrativo, fornecendo documentações solicitadas, permitindo acesso da ANPD às suas instalações, viabilizando a realização de auditorias, dentre outras. Isso significa que o agente de tratamento que, de alguma forma, tentar inviabilizar o andamento saudável do processo de apuração de determinada infração, incorrerá em infração também por esta razão. Por outro lado, se houver a cooperação e boa-fé por parte do infrator, este poderá gozar de redução da multa em até 5% (cinco porcento).
Trata-se do chamado “dever de cooperação”, em decorrência do qual o suposto infrator deve facilitar a realização da apuração, cooperando com as diligências administrativas e apresentando toda a documentação (evidências) necessárias à averiguação dos fatos.
Outro ponto a ser levado em consideração é o fato de o valor fixado ser o mesmo da multa aplicada pela ausência de indicação das bases legais, isso porque, nos termos do art. 8º, §3º, inciso I, alínea “e”, do Regulamento de Dosimetria e Aplicação de Sanções Administrativas, publicado pela ANPD em sua Resolução n. 4, a realização de tratamento de dados pessoais sem indicação das bases legais configura infração de natureza grave.
Ou seja, a ANPD entendeu que a violação ao dever de cooperação, previsto no art. 5º de sua Resolução n. 1, constituiu obstrução à atividade de fiscalização, infração de natureza grave, nos termos do art. 8º, §3º, inciso II, ou pelo menos passível de punição equivalente. Isso trás ainda mais importância ao já mencionado dever de constituição de evidências do agente de tratamento, visto que, na falta de apresentação das documentações pertinentes, ou, ainda, na falta de facilitação de acesso às informações necessárias á apuração de fato, o agente de tratamento será punido por, além da infração em si, não colaborar com a sua apuração, em gravidade alta ou equivalente àquela da infração apurada a princípio.
Com efeito muitas são as respostas que a decisão, publicada no dia de hoje, trazem para nós titulares de dados e agentes de tratamento, mas é verdade que também muitas são as perguntas. É difícil saber ao certo o processo cognitivo adotado pela ANPD para a construção do despacho, já que estaríamos fazendo exercício de adivinhação, mas uma coisa é certa: as portas foram abertas, as multas são reais, a seriedade do processo administrativo está sendo levada em consideração, e, dadas as características da empresa em questão, ninguém está voando abaixo do radar.
Comments