Primeira decisão da ANPD: não basta estar em conformidade com a LGPD, é preciso provar

Marcos Antonio Dias Filho*

Nesses últimos cinco anos desde que foi publicada a Lei Geral de Proteção de Dados (Lei n. 13.709/2018) temos acompanhado noticias esporádicas de punições para empresas multinacionais por órgãos de proteção aos direitos do consumidor (Ex.: Procon e Ministério Público).

Ressalvadas algumas queixas pelos consumidores, as empresas acreditavam que o âmbito de fiscalização à LGPD seria muito restrito e destinado somente a grandes empresas que se destacam pelo grande volume de tratamento de dados.

Ainda, devido há uma ausência de regulamentação, a Autoridade Nacional de Proteção de Dados se dedicou, nesses primeiros anos da LGPD, a editar guias orientativos, cartilhas, templates e participações em seminários, no sentido de auxiliar as empresas a se adequarem à norma.

Contudo, no início do presente ano, a Autoridade Nacional de Proteção de Dados publicou a Resolução CD/ANPD n. 04/2023 que regulamentou a dosimetria e aplicação de penalidades por descumprimento às disposições da LGPD.

Ainda, em uma entrevista realizada pelo diretor presidente da ANPD, Waldemar Gonçalves, ele informou que em 2022 foram apresentados mais de 1.043 requerimentos de denúncias e que haveriam punições ao longo de 2023.

Na entrevista, o presidente do Órgão informou que as punições trariam mais visibilidade para a ANPD e consequentemente passaria um recado para as empresas que não estão buscando a adequação à LGPD.

Dessa forma, no último dia 06 de julho de 2023 veio a primeira decisão administrativa da ANPD aplicando uma penalidade a uma empresa por descumprimento às disposições da Lei Geral de Proteção de Dados.

Se esperava que, como outros órgãos de controle, a primeira punição fosse aplicada a grandes empresas, empresas multinacionais, que frequentemente vemos noticias de vazamento de dados.

Contudo, a primeira penalidade foi para uma empresa de pequeno porte localizada no Estado do Espirito Santo.

No procedimento fiscalizatório, mesmo sendo mais simplificada a adequação à LGPD por empresas de pequeno porte, a empresa fiscalizada não conseguiu comprovar minimamente sua adequação à LGPD e ficaram caracterizadas as seguintes irregularidades: 1) Art. 7 e Art. 11 – ausência de comprovação de hipótese legal de tratamento de dados pessoais; 2) Art. 37 – ausência de comprovação de registro das operações de tratamento de dados pessoais; 3) Art. 38 – ausência de envio do relatório de impacto à proteção de dados pessoais referente a suas operações de tratamento;4) Art. 41 – falta de comprovação da indicação do encarregado; e 5) Art. 5º – Não atendimento às requisições da ANPD.

Assim, foi aplicada uma penalidade de advertência e duas multas à empresa, uma multa simples no valor de R$ 7.200,00, por tratar dados sem base legal e outra multa R$ 7.200,00 por não atender as requisições da ANPD quando a empresa foi notificada.

E foi uníssono o entendimento entre todos profissionais de proteção de dados (advogados e encarregados) que essa primeira decisão foi um recado para a sociedade que TODAS as empresas devem estar adequadas à LGPD, independente do porte.

Além disto, se extrai da decisão que não basta que as empresas estejam adequadas à LGPD pois é necessário provar essa adequação atendendo às requisições da ANPD.  Isso reforça a necessidade de as empresas estarem preparadas não apenas em termos de políticas e processos internos, mas também na capacidade de demonstrar a conformidade quando solicitado pelo órgão regulador.

Portanto, a decisão da ANPD de punir uma empresa de pequeno porte por descumprimento da LGPD é um recado claro para todas as empresas, independentemente do porte. A ANPD está comprometida em fazer cumprir a lei e está enviando uma mensagem de que não tolerará violações.

*Marcos Antonio Dias Filho é advogado. Sócio do escritório Dias e Amaral Advogados Associados. Pós-graduado em Direito Imobiliário e Direito Cibernético. Especializado em Lei Geral de Proteção de Dados e Encarregado de Dados (DPO EXIN). Membro da Comissão Especial de Direito Imobililiário da OAB-GO e Comissão de Direito Digital e Informática no triênio 2022/2024.