A primeira multa pelo descumprimento de determinações da LGPD (Lei Geral de Proteção de Dados) foi aplicada no Brasil. Foram duas sanções administrativas de R$ 7.200, cada, totalizando R$ 14.400, à Telekall Infoservice, do ramo de telefonia, sediada em Vila Velha (ES).

A decisão da ANPD (Autoridade Nacional de Proteção de Dados) é inédita no país desde que a legislação, que define regras para o uso de dados pessoais no Brasil por empresas e órgãos públicos, entrou em vigor em setembro de 2020.

A Autoridade é uma autarquia vinculada ao Ministério da Justiça e Segurança Pública responsável por regulamentar e fiscalizar o cumprimento da LGPD.

O que rolou

As multas foram publicadas última quinta-feira (6) no Diário Oficial da União após finalização de um processo administrativo aberto contra a Telekall Infoservice em março de 2022. A empresa de telefonia foi investigada por:

•      ·        Supostamente comercializar dados pessoais ao oferecer uma lista de contatos de WhatsApp de eleitores com o objetivo de que os contatos fossem usados disseminar material de campanha eleitoral em 2020.

•      ·        Não possuir profissional encarregado pelo tratamento de dados pessoais pela empresa. Ou seja, alguém para responder por qualquer atividade envolvendo o uso, processamento, armazenamento de informações pessoas. 

No primeiro item, a a ANPD observou que o tratamento de dados pessoais pela companhia estava ocorrendo sem respaldo da lei.

"Embora seja uma microempresa, a Telekall não comprovou que não fazia tratamento de alto risco, condição necessária para excepcionalizar a exigência de designação do encarregado [pelos dados]", afirmou a Coordenação-Geral de Fiscalização da ANPD, em comunicado, sobre a segunda infração.

Além disso, a Autoridade encontrou as seguintes condutas irregulares:Não envio de Relatório de Impacto de Proteção de Dados.  

  · Não envio de Relatório de Impacto de Proteção de Dados. 

•     · Não atendimento à requisição da ANPD após a fiscalização ser iniciada. Entre as perguntas não respondidas estavam: Qual a origem dos dados que essa empresa oferece para disparar mensagens de Whatsapp, conforme consta abertamente do site dessa empresa? E Quantos registros possui atualmente em seu banco de dados?

As sanções usaram como base as definições da resolução da ANPD de 24 defevereiro de 2023. Até então não existia um regulamento específico para guiar a análise da gravidade e cálculo das punições para quem descumprir a LGPD.

Elas foram oficializadas após esgotar os recursos da Telekall Infoservice. Tilt entrou em contato por telefone e email com a empresa, mas ainda não obteve retorno. Na Receita Federal, o CNPJ da empresa consta como "inapto".

Multa poderia ter sido evitada

Davis Alves, membro do CNPD (Conselho Nacional de Proteção de Dados) como representante da sociedade civil, considera que a multa de R$ 14 mil é proporcional, tendo em vista o porte da empresa, que é pequeno. "Não se pode comparar com uma sanção de uma multinacional", destaca.

Para ele, tudo isso poderia ter sido evitado se a Telekall Infoservice tivesse um profissional de dados, como determina a lei para o processamento de dados de alto risco.

"Ela não estava atendendo às requisições da ANPD, mas quem faz isso é o encarregado disso na empresa, responsável por receber as reclamações de usuários e do governo. Então, a origem de tudo isso é justamente por não ter um responsável pela LGPD dentro da empresa, que iria responder todas essas questões", avalia.

O CNPD, vinculado à ANPD, é formado por vinte e três membros titulares e suplentes, entre profissionais do governo, do Congresso, instituições científicas, confederações sindicais e representantes de empresas.

"LGPD avança, mas multa demorou"

Alves, que também é presidente da ANPPD (Associação Nacional de Profissionais de Proteção de Dados), ainda diz que a multa demonstra um avanço na proteção de dados no Brasil, mas pondera que é questionável a demora que a ANPD levou para aplicar sua primeira sanção desde 2020.

Como comparação, na Europa, a primeira multa contra uma empresa após o Regulamento Geral de Proteção de Dados (GDPR; lei que inspirou a brasileira), demorou menos de um ano. Na ocasião, o Google recebeu a sanção de 50 milhões de euros.

“Pela esfera judicial, os tribunais têm emitido multas e indenizações. Estão muito mais rápidos do que a ANPD. Se for comparar com a Europa, a primeira multa saiu em menos de um ano, enquanto aqui demorou quase três anos. Isso é questionável e nos levanta um alerta: será que a ANPD está com contingente suficiente de pessoas?”

Davis Alves, membro do CNPD e presidente da ANPPD.

Alves ainda frisa que a demora entre a reclamação e a multa pode prescrever a infração cometida pela empresa. A LGPD determina que o infrator está isento de sanção se o registro do fato for superior a três anos.

“Será que isso já não pode ter ocorrido, uma vez que demorou quase três anos para sancionar a primeira empresa? É para a sociedade se preocupar com isso e não aceitar que esse seja um padrão de tempo.”

Davis Alves, membro do CNPD e presidente da ANPPD.

Tilt entrou em contato com a ANPD, por email e telefone, para um posicionamento, mas ainda não obteve retorno. O texto será atualizado caso a Autoridade se pronuncie.