Por Redação Tribuna do Planalto em 17/07/2023 - 18:27
A Autoridade Nacional de Proteção de Dados (ANPD) aplicou a primeira sanção por indícios de infração à Lei Geral de Proteção de Dados Pessoais (LGPD), a uma empresa privada. Trata-se de uma empresa de telemarketing, enquadrada como microempresa, mas que possuía um banco de dados irregular de mais de 130 milhões de titulares.
A multa total foi fixada em R$ 14,4 mil, sendo que R$ 7,2 mil foram cobrados pelo descumprimento de deveres relativos à fiscalização do órgão – ou seja, porque a empresa não apresentou os documentos solicitados de forma adequada durante o procedimento – e os outros R$ 7,2 mil foram estabelecidos em razão da falta de indicação de um encarregado pelo tratamento de dados pessoais.
Para o advogado e professor Rafael Maciel, especialista em Direito Digital e Proteção de Dados, a decisão chama a atenção tanto pelo ineditismo – a sanção foi publicada no Diário Oficial da União no dia 6 – quanto pelo fato de atingir uma empresa classificada como micro e não uma grande organização, conforme se especulava. “A medida é um alerta aos que acreditam que passarão ilesos com tratamentos abusivos dos dados pessoais”, adverte.
Uma resolução da própria ANDP estabelece as regras para aplicação de sanções. A princípio, microempresas e algumas startups estão isentas de se sujeitarem a algumas das exigências da LGPD, que veio disciplinar o tratamento de dados pessoais no Brasil, frequentemente vulneráveis e expostos, o que traz dissabores e prejuízos para os atingidos. “A mesma resolução traz algumas exceções a esse benefício, como o tratamento de alto risco quando há larga escala. Acredito que pela atividade, de ser de marketing, com disparo em massa, o que pode tirar esse caráter da proteção”, avalia o advogado.
“A meu ver, oferecer dados de 130 milhões de titulares por si só representa um risco”, analisa Rafael Maciel. Para ele, quem procede dessa forma não possui qualquer preocupação quanto ao armazenamento do banco de dados. “Assim, aumenta as chances da ocorrência de vazamento e uso de forma a trazer prejuízos ainda maiores aos titulares”, pondera.
Lacunas
Rafael Maciel acrescenta que a íntegra da decisão não foi publicada, o que não permite avaliar em profundidade os critérios considerados pela autoridade sancionadora. Para ele, há lacunas que devem ser esclarecidas. “Acredito que pela atividade, de ser de marketing, com disparo em massa, pode tirar esse caráter da proteção prevista na resolução”, sugere.
Ele alerta ainda que mesmo que a organização não trabalhe com um alto volume de dados, mas exerça uma atividade que trate de informações sensíveis, como pequenas clínicas e demais estabelecimentos de saúde, há a necessidade de que seus dirigentes se apressem com a regulamentação para estarem munidos para uma eventual fiscalização. “Não apenas para evitar multas, mas também para ser exemplo de boas práticas de proteção de dados”, finaliza.
