Agosto comemora cinco anos da publicação da Lei Geral de Proteção de Dados (LGPDLei Geral de Proteção de Dados (Lei nº 12.709/2018): Lei Brasileira que visa garantir a proteção e a privacidade de dados pessoais. Equivalente a GDPR que é o regulamento europeu... Saiba mais). Inspirada na GPDR europeia, a LGPD regula o tratamento de dados pessoais realizados no território nacional ou relacionados a pessoas aqui residentes. Neste período, foram publicadas diversas regulamentações e complementações à lei, visando a sua completa aplicabilidade.
A última, e uma das mais aguardadas, foi a Resolução CD/ANPD 4, de 24 de fevereiro de 2023, que definiu os critérios de dosimetria das sanções a serem aplicadas pela Agência Nacional de Proteção de Dados (ANPDAutoridade Nacional de Proteção de Dados, órgão da administração pública cujas atribuições são relacionadas à proteção e privacidade de dados pessoais. Saiba mais) em caso de descumprimento da LGPD. Logo após a publicação da referida regulamentação, em julho de 2023, a ANPD publicou sua primeira decisão sancionatória, aplicando multa e advertência a uma empresa de Telecomunicações. A decisão surpreendeu especialistas por ser direcionada a uma microempresa e não a grandes empresas, ainda que existissem empresas como Claro Telecom, Telegram e TikTok com Processo de Fiscalização em andamento.
No âmbito da GPDR, as grandes empresas tem sido foco dos órgãos de fiscalização, que aplicaram multas milionárias no Google, Meta e Uber. Isso decorre do fato de empresas de maior porte estarem ligadas ao maior riscoQuantificação e qualificação da incerteza, tanto no que diz respeito a perdas quanto aos ganhos, com relação aos acontecimentos planejados. É um desvio em relação ao esperado. É uma incerteza... Saiba mais, especialmente em razão do alto tráfego de dados pessoais, somado a atenção atraída pelo reconhecimento do público em geral.
Por outro lado, há um considerável risco no fato de muitas startups e empresas de pequeno e médio porte optarem por postergar sua adequação à legislação. A ANPD, inclusive, tentou remediar esta tendência, atenuando as obrigações aplicáveis à estas empresas por meio da Resolução CD/ANPD 2 de 2022, corroborando a ideia geral de que, em razão de que a menor exposição a riscos, é possível a redução das exigências de medidas preventivas previstas na LGPD, mas não as exclui.
A recente decisão da ANPD reforça que as pequenas e médias empresas também devem se adequar à LGPD o quanto antes, uma vez que, mesmo que não possuam alta demanda de tratamento de dados pessoais ou não lidem com dados sensíveis, ainda estão sujeitas a fiscalizações e a ocorrência de incidentes, especialmente se as medidas de prevenção não forem adotadas.
No caso da empresa sancionada, fiscalizada em razão de compartilhamento de dados sem autorização, foram considerados na aplicação da sanção não apenas a infração cometida, mas também a inércia em solucionar o incidente e auxiliar a ANPD durante a fiscalização.
A empresa foi condenada, ainda, pela ausência de Encarregado de Dados, uma das obrigações passíveis de substituição nos termos da Resolução CD/ANPD 2 de 2022, mas cuja dispensa depende da demonstração do cumprimento cumulativo dos requisitos complementares.
A sanção aplicada revela qual será a linha seguida pela ANPD nos processos sancionatórios, conferindo atenção ao tratamento de dados pessoais realizado por micro e pequenas empresas, e considerando, em sua dosimetria, não apenas o descumprimento da obrigação principal, mas também o atendimento às obrigações acessórias previstas na LGPD e demais Regulamentos da ANPD.
(*) Luciana Souza é advogada do Manucci Advogados e pós-graduada em direito internacional pelo Cedin
Publicada originalmente no site O Tempo