A Agência Nacional de Proteção de Dados (ANPD) publicou a primeira decisão administrativa, por infração aos arts. 7º e 41 da LGPD
(i) ausência de comprovação de base legal para tratamento de dados pessoais;
(ii) ausência de registro de operações;
(iii) não envio de relatório de impacto de proteção de dados;
(iv) ausência de encarregado; e,
(v) não atendimento a requisições da ANPD.
Após o devido processo legal, a ANPD apurou ter havido infração ao art. 7º da LGPD (ausência de fundamento legal para tratamento de dados pessoais) e ao art. 5º do Regulamento de Fiscalização (ausência de cumprimento de deveres, pela empresa autuada, no processo de fiscalização), razão pela qual aplicou multa e advertência pela ausência de indicação de encarregado.
Precedente
A decisão estabelece um precedente de que há efetiva fiscalização e punição aos que não cumprem a lei. E avisa que as empresas devem saber, tecnicamente, como tratar e proteger dados pessoais pois, além da multa, uma possível crise reputacional pode ser instalada, com riscos de perda de clientes, parceiros e negócios, entre outros prejuízos.
A decisão prova que as organizações continuam desatentas e inertes à necessidade de ter um suporte técnico-jurídico especializado para alcançar a adequação e minimizar os riscos não apenas da multa, mas acima de tudo, das consequências após a multa.
Além disso, há fortes indícios de que a punição decorre da interpretação errada, pelo infrator, da LGPD em sua atividade-fim e pela falta de resposta aos ofícios e requisições da ANPD durante o processo.
O que podemos prever é um grande aumento dos valores das multas, principalmente para casos onde houver vazamento de dados.
Além de multa, o órgão fiscalizador aplicou advertência, ao citar dispositivo da LGPD, que trata do DPO – Encarregado pelo Tratamento de Dados Pessoais.
Percebemos, que não há, no Brasil, conscientização das empresas em nomear e capacitar tal profissional para a realidade diária. E para as empresas que já têm o Encarregado, não basta exigir desse profissional “apenas” o conhecimento teórico.
A ausência de estudo e atualização nos casos práticos, prova que os Encarregados estão longe da realidade. Também não demonstram como o DPO deve lidar com os titulares de dados no dia a dia, como interagir com a ANPD e os demais órgãos reguladores/fiscalizadores (Procons, Ministério Público, Ministério do Trabalho, etc).
Crise reputacional
A ANPD provou aos incrédulos que afirmavam que nada aconteceria, a sua disposição em cumprir o papel regulatório e de promover a proteção dos direitos dos titulares de dados.
A autarquia atuou e puniu. A decisão comprova para quem ainda está em desconformidade, a urgência de se cumprir a LGPD com rigor técnico e jurídico.
A empresa autuada, além da penalidade, está com seu nome e CNPJ expostos desde a publicação da decisão, em todos os tipos de mídias especializadas e comuns.
A exposição pode ser muito pior que a multa em si, podendo levar ao encerramento das atividades por perda de credibilidade, parceiros e clientes.
Situações como esta deverão ser cada vez mais frequentes, o que reforça a necessidade das organizações estarem em conformidade com a legislação vigente e atentas às mudanças e novidades da área.
Eder Daré é Advogado especialista em LGPD, membro do Núcleo de Proteção de Dados do Oeste da Bahia, responsável pela cadeira da Medicina e Saúde.