Este Boletim Informativo é produzido pelo escritório Martins de Almeida – Advogados, na parceria que mantém com a TI Rio, e se destina a distribuição aos associados desta entidade.
Autoridade Nacional de Proteção de Dados Pessoais Inicia Sanções: É Chegada a Hora de Entrar em Conformidade
Desde a publicação da LGPD em 2018, passaram-se cinco anos até a primeira condenação, em jul/23. Apesar disso, é de se crer que ainda haja empresas em desconformidade em razão das crises econômicas recentes. Porém, o início das sanções não deveria ser visto com preocupação, mas sim como oportunidade para alinhar prioridades à atuação da Autoridade Nacional de Proteção de Dados (ANPD), em especial, aproveitando guias como a Cartilha de Proteção de Dados Pessoais da T.I. Rio e o respectivo checklist de autoavaliação.
Segundo divulgado publicamente pela ANPD, sua atuação inicial seria voltada para conscientização. Para esse fim, a Autoridade passou a divulgar os processos em curso, bem como as infrações investigadas. Diante disso, convém analisar o caso da Telekall, uma microempresa provedora de serviços de telefonia, como telemarketing e autoatendimento via serviço de mensageria WhatsApp, e primeira condenada à pena de multa.
A referida fiscalização teve início com denúncia de uso não autorizado de dados de eleitores para envio de material eleitoral. Aberto o processo, a ANPD requereu à empresa, em síntese:
- Identificação do encarregado responsável pelo contato com a Autoridade;
- Registro de operações de tratamento que comprovasse a origem dos dados, suas categorias e volume, e a finalidade do tratamento associada a uma base legal;
- Elaboração de relatório de impacto à proteção de dados pessoais.
Contudo, a Telekall não respondeu às exigências e, por isso, foi-lhe lavrado auto de infração. A requerida argumentou que os serviços de marketing estavam suspensos após publicação da LGPD e que o tratamento era legal, pois os dados pessoais eram públicos; apenas depois do prazo de resposta, a empresa indicou o contato de seu encarregado.
Conforme a T.I. Rio divulgou em sua cartilha, a prestação de contas (accountability) é um dos princípios da LGPD: todo agente deve ser capaz de provar que cumpre a LGPD. Disto decorre a obrigação básica de elaborar um registro das operações de tratamento realizadas (Record of Processing Activities – ROPA), o qual será um dos primeiros documentos que a ANPD fiscalizará, a fim de entender o fluxo de dados pessoais existente nos processos internos do agente de tratamento. Ademais, todos devem nomear um encarregado, interno ou externo, para servir de contato com a ANPD, além das demais obrigações legais de orientação do agente e resposta a titulares (a propósito, ambas as obrigações podem ser mitigadas se o agente for qualificado como de pequeno porte, mas a Telekall teve problemas em evidenciar o volume dos tratamentos).
As obrigações acima são entendidas como fundamentais para o bom prosseguimento de uma fiscalização e, portanto, da demonstração da conformidade legal. Sem o ROPA, cria-se grande dificuldade na análise do fluxo de dados pessoais e identificação de desconformidades, e sem um encarregado independente, não há um profissional qualificado e independente que possa orientar a alta gestão quanto à necessidade de adequação de processos, produtos e/ou serviços, e esteja apto a responder a questionamentos da Autoridade ou de titulares.
Tais infrações são indícios que podem explicar a incapacidade de a Telekall elaborar um relatório de impacto à proteção de dados pessoais. Este tem por fim analisar os tratamentos de dados pessoais, identificar seus riscos e estudar a adoção de remédios adequados. Não obstante ser legalmente obrigatório apenas mediante requerimento da Autoridade, o cuidado em prepará-lo de antemão, no contexto do fim de um projeto de adequação à LGPD, é bem-visto pela ANPD, especialmente considerando que a cooperação com fiscalizações é uma atenuante relevante no cálculo de sanções.
Por fim, a justificativa do tratamento de dados disponíveis publicamente não poderia proceder. A LGPD é explicita em afirmar que o uso destes dados não depende de consentimento, mas ainda assim, deve respeitar os direitos do titular e os princípios legais. Isso significa que deve haver uma legítima expectativa do titular em relação ao novo tratamento pretendido, de modo que ele não seja surpreendido. Visto que a Telekall não provou ter informado os titulares afetados de que faria o tratamento em questão, eles jamais tiveram ciência da circulação de suas informações, nem contra quem deveriam exercer seus direitos, em ofensa ao princípio da autodeterminação informativa.
Diante de tais infrações, a ANPD decidiu pela condenação, com fundamentação expositiva cuidadosa, no intuito de educar o público. Tendo em vista que ainda cabe recurso, convém acompanhar o processo, para entender como a ANPD poderá atuar em casos semelhantes.
Com o objetivo de conscientizar o ecossistema de T.I., a Cartilha de Proteção de Dados Pessoais da T.I. Rio e o checklist de autoavaliação, disponíveis no site do TI Rio (clique aqui), ajudam a avaliar prioridades que uma empresa de T.I. deve ter para estar em conformidade com a LGPD, inclusive as referidas questões avaliadas pela ANPD. Portanto, a meia-década entre o surgimento da LGPD e a primeira sanção da ANPD podem ser vistas como oportunidade de racionalização de custos de adequação, ante a maturidade que o tempo trouxe e a atitude louvável da Autoridade em buscar esclarecer aos agentes de tratamento as obrigações que entende como relevantes para sua atuação.
Martins de Almeida – Advogados (www.mda.com.br)