Surpreendentemente, em 06/07, a Autoridade Nacional de Proteção de Dados Pessoais (ANPD) publicou despacho sancionatório no qual aplicou a primeira multa por violação à Lei Geral de Proteção de Dados a uma microempresa, isso mesmo. A expectativa era que a primeira multa fosse suportada por uma das 'Big Techs', mas, contrariamente, a empresa de Telemarketing, Telekall Infoservice, foi a escolhida.
Em 2022, a ANPD havia instaurado processo fiscalizatório à Telekall Infoservice com o intuito de investigar as condutas de (i) ausência de comprovação de hipótese legal; (ii) ausência de Registro das Operações com Dados Pessoais; (iii) não envio de Relatório de Impacto de Proteção de Dados; (iv) Ausência de Encarregado de Dados (v) não atendimento à requisição da ANPD. No entanto, ao que tudo indica, a empresa não colaborou com o processo de fiscalização.
Outro fator que merece atenção - embora já esperado - é que a multa não foi consequência de nenhum incidente de dados, mas sim pela inobservância do art. 7º da Lei Geral de Proteção de Dados Pessoais (LGPD), que trata das hipóteses legais para o tratamento dos dados pessoais, e do art. 5º do Regulamento de Fiscalização (Resolução CD/ANPD Nº 1/2021), que menciona os deveres dos agentes de tratamento em colaborar com o processo fiscalizatório, seja fornecendo cópia de documentos, conferindo acesso às instalações, aplicativos ou submetendo-se a auditorias realizadas ou determinadas pela ANPD.
Assim, a aplicação da penalidade ocorreu por infração, conforme o art. 52, II, da LGPD e o art. 16, I, do Regulamento da Dosimetria (Resolução CD/ANPD nº 4/2023), ou seja, por cada uma das infrações foi aplicada a multa de R$ 7.200,00 (sete mil e duzentos reais), totalizando o valor de R$ 14.400,00 (quatorze mil e quatrocentos reais). A empresa autuada poderá interpor recurso administrativo ao Conselho Diretor para discutir a decisão de primeira instância.
De acordo com informações da ANPD, atualmente há 16 processos fiscalizatórios já instaurados e 8 processos administrativos sancionatórios, envolvendo pessoas jurídicas de direito público e privado.
Inquestionavelmente, uma multa pode causar impactos significativos no fluxo de caixa de qualquer empresa, especialmente se houver reincidência das infrações. Todavia, o maior impacto é o reputacional, que, mesmo de forma indireta, pode acarretar graves prejuízos à imagem da marca.
A incorporação de medidas de boas práticas e governança de dados se configura como um diferencial competitivo, potencializando a visibilidade dos negócios, visto que isso se torna um pré-requisito para investimentos e para aumentar a confiança do mercado. No entanto, não se limita a isso, especialmente no cenário de vazamento de dados que, em matéria do Estadão, já revelou que os dados de brasileiros são os mais baratos nos confins da darkweb. A clássica lei da oferta e da procura. Como há mais dados de brasileiros disponíveis, mais baratos ficam.
As empresas, mesmo imersas na mais profunda segurança informacional, não estarão em concordância com a LGPD se não atenderem aos princípios elementares desta legislação, em particular os da finalidade, transparência e responsabilização. Afinal, a maioria dos holofotes se volta para questões relativas à confidencialidade da informação, um esteio indubitável, mas não o único. A LGPD é um mandamento que clama igualmente por transparência e uso ético dos dados. Destarte, não é suficiente que os dados estejam sob custódia segura, é necessário que eles estejam sob a guarda de determinada empresa por um motivo claro e legítimo. Esse foi o calcanhar de Aquiles da Telekall e de tantas outras no contexto brasileiro.
Este fato revela uma tendência interessante e mostra uma aspiração patente da ANPD de se alinhar ao modelo regulatório europeu. No entanto, nota-se que o mercado brasileiro ainda está centrado na segurança cibernética e na utilização de terminologias que, paradoxalmente, em vez de esclarecer, tendem a ofuscar ainda mais a interpretação jurídica. Como exemplo, temos o termo "data privacy", traduzido literalmente do inglês para o português como "privacidade de dados". Todavia, os dados, por sua natureza inanimada, não almejam privacidade, mas sim as pessoas que por eles são representadas. E elas anseiam não por uma privacidade passiva, mas ativa, no sentido de que desejam saber quem detém seus dados e o que é feito com eles.
A palavra "accountability", de origem anglo-saxônica e profusamente empregada no cenário norte-americano, mais devotado à segurança dos dados, seria mais congruente para utilizar neste contexto. Isso ocorre, pois este termo capta de forma mais precisa a responsabilidade inerente àqueles que coletam, processam e guardam dados pessoais.
Evidencia-se, assim, a importância dos princípios basilares da LGPD, como transparência, finalidade e responsabilização, que funcionam como verdadeiros faróis a orientar a ação das empresas. Não basta, portanto, que se atenha à segurança da informação, se esta não for realizada à luz desses princípios. Trata-se de uma constatação que nos exorta a refletir sobre a necessidade de maior compreensão da legislação vigente e de maior alinhamento às diretrizes da ANPD, buscando evitar sanções e, ao mesmo tempo, garantir o uso seguro e transparente dos dados pessoais.
Tal compreensão profunda e acurada, assente em princípios rigorosos de ética, responsabilidade e transparência, configura-se como um imperativo neste mundo cada vez mais permeado pela tecnologia e pela informação. Tais princípios devem nortear não apenas a forma como as empresas coletam e guardam dados, mas também a maneira como se comunicam com o público e explicam o uso que fazem dessas informações, procurando atender às expectativas e direitos dos titulares de dados e, ao mesmo tempo, evitar sanções por descumprimento da lei.
*Marina de Andrade Silva, advogada responsável pelo Núcleo de Proteção de Dados da Lobo & Vaz Advogados