Em 06.07.2023, foi publicada, no Diário Oficial da União, a aplicação das primeiras multas administrativas pela ANPD (Autoridade Nacional de Proteção de Dados). As penalidades foram impostas à personalidade jurídica de direito privado, classificada como microempresa, pertencente ao segmento de telemarketing.
A decisão da ANPD é inédita no país desde que a legislação, que define regras para o uso de dados pessoais no Brasil, entrou em vigor em setembro de 2020.
Foram lavradas duas multas decorrentes (i) da ausência de comprovação de base legal para tratamento de dados pessoais, conforme previsto no artigo 7º, da LGPD e (ii) do não atendimento à ANPD, quando a empresa foi solicitada a fazê-lo, ao longo do processo administrativo, violando o artigo 5º, da Resolução nº 1/2021 (“Regulamento do Processo de Fiscalização da Autarquia”).
Em consequência, foram impostas multas de R$ 7.200,00 (sete mil e duzentos reais), cada, totalizando R$ 14.400,00 (quatorze mil e quatrocentos reais). O valor de cada multa foi limitado a 2% do faturamento bruto da empresa, conforme disposto no artigo 52, II, da LGPD. Assim sendo, a multa aplicada pautou-se pela proporcionalidade, frente ao porte da empresa, que é pequeno.
Ainda, foi aplicada advertência à empresa pela ausência de indicação de Encarregado pelo tratamento de dados pessoais (“DPO”), conforme requisito do artigo 41, da LGPD. Embora seja uma microempresa, a entidade não chegou a comprovar se fazia tratamento de alto risco, condição que pode tornar necessária a designação de encarregado. No mais, foi verificada também a não realização ou envio de Relatório de Impacto de Proteção de Dados.
No prazo de 20 (vinte) dias úteis, a empresa sancionada deve efetuar o pagamento do valor da multa ou apresentar recurso administrativo. Caso o pagamento ocorra, sem a apresentação de recurso administrativo ao Conselho Diretor da Autoridade, será concedido um desconto de 25% sobre o valor da sanção.
Na esfera judicial global, os tribunais têm aplicado multas e indenizações, como em decorrência das sanções presentes na GDPR, agência de proteção de dados europeia, onde a primeira multa saiu em menos de um ano.
Em fevereiro deste ano, a ANPD publicou a Resolução CD/ANPD nº 4/2023 que estabeleceu a dosimetria e aplicação das sanções por violações à LGPD; e, desde 2020, o órgão já recebeu mais de 7.000 (sete mil) relatos relacionados a infrações decorrentes do tratamento de dados.
Apesar da ANPD ainda estar passando por etapa de formalização dos seus procedimentos, o órgão tem fiscalizado o cumprimento da lei. Mesmo que a primeira sanção tenha sido aplicada a uma pequena empresa, com multas relativamente baixas, há um nítido avanço, a demonstrar que as exigências da lei servem para todos, e não apenas para grandes organizações.
Essa multa pecuniária é um lembrete contundente de que a proteção de dados é uma responsabilidade séria e que as empresas devem cumprir as exigências legais para evitar consequências negativas. A adequação à LGPD é obrigatória para todas as empresas que tratam dados pessoais, visando garantir a proteção e a privacidade dos titulares de dados.
Nessa linha, não fica afastada a intensificação das fiscalizações nos próximos meses.
Para as empresas que ainda não estão adequadas à LGPD, recomendamos a preparação de projetos de forma imediata.
Nossa Equipe de Proteção de Dados está à disposição para eventuais esclarecimentos.