06 de dezembro de 2023 •
Breves reflexões sobre os três anos da LGPD
Contados três anos da entrada em vigor da Lei Geral de Proteção de Dados – LGPD e do início das atividades da Autoridade Nacional de Proteção de Dados – ANPD, o órgão responsável pela regulamentação e fiscalização da proteção de dados no Brasil, já é possível extrair algumas conclusões interessantes acerca da forma de atuação das autoridades e do tipo de fiscalização que será por elas executada.
Nos últimos meses, houve um volume substancial de decisões e notícias que envolvem a proteção de dados e privacidade no país. Cada vez mais as discussões em torno de tais temas aproximam-se do cotidiano das pessoas e empresas, normalmente envolvendo eventos em que há algum tipo de quebra de confiança e/ou vazamento de informações confidenciais (ou de informações sujeitas a algum tipo de controle de acesso).
Recentemente, a ANPD divulgou uma Nota Técnica¹ que traz uma série de constatações sobre o uso de dados pessoais no setor farmacêutico, tais como CPF, hábitos de consumo e até mesmo utilização de informações de planos de saúde nas farmácias, para compras e descontos de remédios. Em monitoramento ao tratamento de dados pessoais, a ANPD identificou o tratamento para finalidades diversas daquelas indicadas aos titulares e indícios de coleta excessiva de dados pessoais, sobretudo de dados pessoais sensíveis, sem informações claras sobre a forma de tratamento desses dados. O compartilhamento sem a devida base legal ou transparência já seria suficiente para a abertura de um processo administrativo pela autoridade competente.
Decisões recentes chamam atenção para a diversidade de situações e condutas que podem gerar consequências sérias a pessoas e empresas no âmbito da aplicação da LGPD. A seguir, comentamos alguns desses casos.
- A primeira multa aplicada pela ANPD.
A fiscalização foi iniciada a partir de denúncia de que a empresa Telekall Infoservice, microempresa do setor de telemarketing, estaria ofertando uma listagem de contatos de WhatsApp de eleitores para fins de disseminação de material de campanha eleitoral. Os fatos denunciados foram relativos à eleição municipal de 2020, em Ubatuba/SP.
A ANPD concluiu que a empresa realizou o tratamento de dados pessoais sem fundamento em base legal (infração ao artigo 7º da LGPD), ausência de indicação de encarregado pelo tratamento de dados pessoais (infração ao artigo 41 da LGPD) e não fornecimento de documentos e suporte à atuação de fiscalização da autoridade (infração ao artigo 5º do Regulamento de Fiscalização da ANPD).
Primeiramente, a ANPD aplicou uma advertência à empresa, e, posteriormente, a condenou ao pagamento de multa no valor de R$ 14.400,00, com limitação do valor para cada infração limitado a 2% do seu faturamento bruto da microempresa, conforme disposto no artigo 52, II, da LGPD. Vale destacar que apesar de os valores não serem vultuosos, a empresa multada é de pequeno porte e foi utilizado o cálculo do Regulamento da Dosimetria da Pena da própria ANPD², indicando o início da utilização, pela Autoridade dos critérios recém- aprovados por ela.
Esta decisão oferece pontos interessantes para análise. O primeiro deles está no fato de a ANPD ter multado uma empresa de pequeno porte. Muitos comentaristas da LGPD traziam a certeza de que a primeira multa seria aplicada a uma grande empresa, provavelmente do setor de tecnologia.
Ainda, vale reiterar que a ausência de colaboração da empresa multada também serviu de base a majorar a dosimetria da pena aplicada nesta primeira sanção.
Ponto de Destaque: A ANPD reconheceu a importância do cargo do DPO (Data Protection Officer) das empresas, uma vez que parte da sanção à empresa em questão foi decorrente da ausência de nomeação de um DPO. Sendo assim, destaca-se a necessidade de as empresas que ainda não se adequaram completamente à LGPD, iniciarem um processo de construção de políticas de proteção aos dados dos clientes, sobretudo com nomeação e contratação de um DPO, conforme preconiza a LGPD, uma vez que a ANPD já demonstrou que essa é uma das ocorrências de possíveis sanções e multas pecuniárias.
- A própria ANPD foi multada pelo TRF3.
Trata-se de um caso em que a União, a Dataprev, a Caixa e a própria ANPD foram consideradas solidariamente responsáveis em indenizar em 15 mil reais cada titular de dados pessoais que teve seus dados do programa Auxílio Brasil vazados.
Este caso teve ainda um desdobramento inesperado: O TRF3 interpretou que a ANPD, ao deixar de averiguar os vazamentos e de controlar a conscientização do cenário de privacidade e proteção de dados no Brasil, tornou-se corresponsável pelo vazamento ocorrido nos datacenters do Governo Federal.
Ponto de Destaque: É nítido que a aplicação da LGPD e a ação fiscalizadora da ANPD ainda passam por um processo de acomodação e conhecimento, mesmo entre outras entidades e órgãos estatais, que também terão que se adaptar à nova realidade de proteção de dados no Brasil.
- Reversão de demissão por justa causa por ausência de base legal na coleta das informações de saúde de um funcionário.
Caso emblemático em que a justiça do trabalho reverteu a decisão de demissão por justa causa de um funcionário que havia sido submetido a exame toxicológico (possível ingestão de álcool).
A decisão é fundamentada com base na própria LGPD, em face da ausência de comprovação de base legal para coletas de dados pessoais sensíveis do funcionário. O juízo não reconheceu a prova de eventual embriaguez deste funcionário, dada a ausência de comprovação de obtenção de consentimento (base legal prevista na LGPD) para coleta de dados pessoais sensíveis.
Ponto de Destaque: Importante lembrar que a coleta de dados de saúde, como exames toxicológicos, é inserida no contexto de dados pessoais sensíveis, e deve observar os requisitos legais pertinentes, ainda mais rigorosos que aqueles aplicáveis aos demais dados pessoais. Nesse cenário em particular, a base legal a ser adotada seria o consentimento expresso, uma vez que não existe lei que exija o teste toxicológico de funcionários que não utilizem veículos como instrumentos de trabalho.
Como se extrai dos casos acima, a cultura de proteção de dados e privacidade brasileira, do ponto de vista jurídico e sancionatório, está apenas começando, mas já carrega indícios de que trará capítulos relevantes ao cenário empresarial nacional. O CSMV reitera seu compromisso em ajudar nossos clientes a adequar-se e a cumprir as leis e regulamentos de proteção de dados. Saiba mais em csmv.com.br.
¹ Nota Técnica nº 4/2022/CGTP/ANPD. Disponível em: <https://www.gov.br/anpd/pt-br/assuntos/noticias/anpd-divulga-nota-tecnica-sobre-tratamento-de-dados-pessoais-no-setor-farmaceutico>. Acesso em 01/12/2023.
² Regulamento de Dosimetria e Aplicação de Sanções Administrativas. Disponível em: <https://www.gov.br/anpd/pt-br/assuntos/noticias/anpd-publica-regulamento-de-dosimetria#:~:text=O%20regulamento%20de%20dosimetria%20busca,legal%20e%20ao%20contradit%C3%B3rio>. Acesso em 01/12/2023.